Специалисты по компьютерной безопасности в IT-гигантах и небольших компаниях вторые сутки работают над устранением ранее неизвестной уязвимости, получившей название Log4Shell. Она позволяет хакерам даже невысокой квалификации скомпрометировать миллионы устройств, работающих в интернете.
Как пишет The Verge, Log4Shell позволяет удаленно запустить на уязвимом сервере любой вредоносный код, получив полный контроль над устройством и доступ к данным на нем. Дыра была обнаружена в опенсорсной библиотеке log4j, широко применяемой онлайновыми приложениями и сервисами для формирования логов (отчетов о происходящем в системе).
По словам Маркуса Хатчинса — киберисследователя, благодаря усилиям которого в свое время была остановлена эпидемия вируса WannaCry — уязвимость Log4Shell затрагивает буквально миллионы приложений, так как почти все они используют для записи логов именно компонент log4j. Чтобы запустить взлом, хакер заставляет этот компонент записать в лог определенную последовательность символов.
Впервые эксплойт был замечен в действии на серверах игры Minecraft: выяснилось, что взломать систему можно было просто сообщением в чате. За считанные часы информация разлетелась по хакерским форумам, и были созданы первые вредоносные инструменты на основе Log4Shell. В компании GreyNoise сообщили, что выявили в сети многочисленные серверы, ищущие подключенные к интернету системы с данной уязвимостью.
В блоге киберисследовательской компании LunaSec утверждалось, что уязвимыми оказались, среди прочих, игровая платформа Steam и облачный сервис Apple iCloud. Ни владеющая Steam компания Valve, ни Apple не прокомментировали эти сообщения.
Отмечается, что от Log4Shell не защищают обычные фаерволы. Теоретически атаку можно даже провернуть, не пересылая данные по интернету, в отношении любого устройства со сканером графических кодов. Для этого строку-"отмычку" достаточно зашифровать в виде QR- или штрихового кода, который затем будет отсканирован — например, компанией осуществляющей доставку посылок.
Версия библиотеки log4j с устраненной уязвимостью уже выпущена. Однако для установки патча нужно вмешательство системного администратора, и на защиту всех уязвимых серверов может уйти много времени.