Уровень опасности — 10 баллов из 10: уязвимость Log4Shell угрожает миллионам серверов по всему миру

Java — популярный язык программирования и программная платформа. На Java написаны многие веб-приложения, программы для настольных ПК и мобильных устройств.

Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.

Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.

• Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
  
• Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.
  

Чем эта уязвимость опасна для интернета

• Гипотетически энтузиасты и самоучки (так называемые «скрипт-кидди») при помощи Log4Shell могут взламывать сервера крупных компаний. Профессиональное образование для этого не требуется.
• PoC-эксплоиты, созданные после объявления об уязвимости, запускают любые программы на удалённых серверах, где установлена Log4j. Хакеру нужно лишь послать запрос на атакуемый сервер, а в запросе указать путь к файлу payload, который позволит удаленно управлять им.
  
• Тестирование показало, что эксплоиты делают возможной атаку даже на очень защищённые облачные сервисы, в частности, Apple iCloud, пишет исследовательская компания Lunasec. Достаточно определённым образом изменить название точки доступа и подключиться к ней с айфона, чтобы воздействовать на облачные серверы Apple, уточняет подробности атаки Greenblock.
  

• Под угрозой также оказались серверы техногигантов Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu и многих других. Волонтёры также ведут список уязвимого ПО: в список вошло антивирусное ПО компании ESET.
• Кроме того, утилита журналирования подключена к популярным фреймворкам, таким как Elasticsearch, Solr и Apache Struts.
• Исследователи выяснили, что уязвимы все версии Java, вышедшие до 11 декабря и версии Log4j от 2.0 до 2.14.1. Ситуация осложняется тем, что об уязвимости стало известно до того, как вышло обновление утилиты.

Как Log4Shell используют хакеры

• Сразу после первых сообщений о Log4Shell компания Apache выпустила обновление, которое закрывает опасную «дыру» в утилите. Кроме того, компания Cybereason опубликовала «вакцину» для старых версий Log4j. Хакеров это не остановило.
• Особенность Log4Shell — большое количество возможных сценариев атаки: получить доступ к нужным серверам можно даже с помощью метаданных фотографий и любых файлов, а также с помощью текста в файле robots.txt на веб-сайте и по электронной почте.
  
• Взломщики используют уязвимость для установки вредоносного ПО на компьютеры жертв, пишет Securitylab. Уже известны случаи удалённой установки ПО Kinsing для майнинга криптовалюты и программ для крупномасштабные DDoS-атак с помощью ботнетов — Mirai и Muhstik.
  
• Хакеры пытаются устанавливать на уязвимые системы фреймворк Cobalt Strike, выяснили в Microsoft. Он позволяет тайно контролировать компьютеры жертв даже после исправления уязвимости и впоследствии — превратить их в ботнет.
• На Github опубликован список IP-адресов, с которых хакеры и энтузиасты проводят сканирование и пытаются эксплуатировать Log4Shell. На момент выхода этой статьи в списке 1882 адреса.

Как защищаются компании и власти

• Log4Shell заставила IT-сообщество срочно принимать меры. Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — «самой крупной и самой критической за последнее десятилетие».
• Простейший метод защиты от Log4Shell — установка наиболее свежей версии библиотеки Log4j 2.15.0, отмечают в «Лаборатории Касперского». Пока этот текст готовился к публикации, Apache выпустила ещё один корректирующий релиз библиотеки.
• 13 декабря стало известно, что в канадской провинции Квебек в качестве превентивной меры закрыты около 4000 государственных сайтов. Федеральное ведомство по информационной безопасности ФРГ (BSI) объявило красный уровень угрозы в связи с уязвимостью.