10 декабря была раскрыта новость о наличии серьезной уязвимости в библиотеке Апачи Лог4Дж, вызов Log4Shell, что подвергает риску почти все приложения и программное обеспечение, использующие Java.
Риск для кибербезопасности настолько высок, что он получает 10 баллов из 10 в Шкала CVSS который оценивает этот тип уязвимости и включает в себя большое количество реальностей, как публичных, так и частных.
Давайте попробуем понять, как работает знаменитая библиотека с открытым исходным кодом Apache и почему эта ошибка могла нанести серьезный ущерб.
Что такое Log4J?
Лог4Дж это библиотека, написанная на языке Java, которая позволяет разработчикам создавать журнал, то есть реестр всех операций, выполненных любым, кто получает доступ к программному обеспечению и использует его. Другими словами: "его цель — просто отслеживать все, что происходит на серверах, отмечая каждую операцию, выполняемую в текстовом файле."(1).
Лог4Дж Таким образом, это позволяет разработчикам приложений хранить большой объем данных, полезных для мониторинга поведения программного обеспечения как на этапе разработки, так и после его отправки в сеть. Это значительно облегчает техническим специалистам обнаружение ошибок, сбоев и ошибок.
это библиотека Открытый исходный код наиболее известен и популярен, используется огромным количеством компаний по всему миру. Например, он интегрирован во все продукты Microsoft, Twitter, Amazon, Minecraft, Steam и iCloud, и это лишь некоторые из них.
И, судя по всему, внутри есть один уязвимость нулевого дня это называлось Log4Shell.
Log4Shell
Сразу определяется как "единственная крупнейшая и наиболее критическая уязвимость за последнее десятилетие"(2), Log4Shell это ошибка типа нулевой день, что является уязвимостью, неизвестной даже разработчикам, создавшим систему.
Эта ошибка позволяет хакерам, использующим ее, анонимно получить контроль над всеми серверами, на которых работает Java. Что на практике выливается в незаконные действия, такие как создание криптовалют, установка вредоносного ПО для кражи (и перепродажи) учетных данных, программы-вымогатели и шпионская деятельность.
Угроза кибербезопасности очень серьезная из-за некоторых факторов. Уязвимость прежде всего Log4Shell это кажется очень простым в использовании и, как уже упоминалось, включает в себя огромное количество программного обеспечения, устройств и компаний. Достаточно сказать, что всего за 12 часов после объявления об открытии было зафиксировано более 40 тысяч атак с участием более 90 стран мира.
Кроме того, серьезность ситуации обусловлена еще и тем, что в силу самой природы бага очень сложно понять, откуда и, прежде всего, от кого исходят эти атаки. Хотя на самом деле большая часть угроз проходит через серверы, расположенные в России, это не обязательно предполагает причастность к делу российского правительства:
"Атака Log4Shell, по сути, состоит из двух частей: первая — отправить письменный веб-запрос на сервер или уязвимое устройство для эксплуатации уязвимости; второй — сделать доступным вредоносное ПО, которое будет загружено целью, пораженной первым действием."(3). Не говоря уже о том, что многие атаки используют VPN-подключение, чтобы скрыть свое происхождение.
Как только стало известно об уязвимости в системе безопасности, хотя на самом деле она уже использовалась хакерами, началось огромное количество кибератак, в том числе спонсируемых государством, т.е. связанных с правительствами разных стран, таких как Китай, Иран, Северная Корея. и Турция.
Бежать в укрытие
Apache, конечно же, не стоял в стороне и не смотрел. Американская компания сразу же выпустила два патча для решения проблемы. Однако оба они не были эффективными, демонстрируя схожие уязвимости.
Только третий патч и в частности версия 2.17.0 из Лог4Дж, кажется, невосприимчив к недостатку Log4Shell. До сих пор, по сути, все участники, реализовавшие эту версию библиотеки, не сообщали о каких-либо проблемах с безопасностью.
Однако для достижения этого решения потребовалось более 2 недель. Драгоценное время, которое стоило более 4 миллионов кибератак, пострадало 43% итальянских компаний, а ущерб за цифру, которая есть и будет трудно установить.
С'объявление об окончательном закрытии брешиоднако это не означает, что мы можем ослабить бдительность. Итальянское агентство кибербезопасности предупреждает, что новая версия Лог4Дж сосредотачивает свое внимание на уязвимости CVE-2021-44832, который, однако, мог выполнять строки кода от кого-то, кто уже находится внутри системы, предварительно проникнув. Хотя это считается незначительной угрозой, обновление по-прежнему имеет первостепенное значение.
Подпишитесь на нас в наш сайт чтобы быть в курсе последних новостей.
