В утилите Apache Log4j, почти повсеместно применяющейся для логирования, обнаружилась, возможно, самая серьезная уязвимость в истории. Ею уже пользуются хакеры.

Что случилось

Первые сообщения об уязвимости появились в конце ноября, пишет Bloomberg. Она содержится в ключевой библиотеке Apache Log4j, которая обеспечивает гибкую настройку и ведение логов. Опасность в том, что уязвимость позволяет злоумышленнику запустить на удаленном компьютере свой код и получить над ним контроль. Причем делается это очень просто, буквально одной строчкой, которая заставляет сервер жертвы перейти на сторонний сайт и выполнить прописанный там скрипт.

Судя по всему, одним из первых обратил внимание разработчика на критический дефект сотрудник службы безопасности Alibaba 24 ноября. «Чаще всего проблемы безопасности не так серьезны, как кажется, — сказал Bloomberg много лет проработавший в поддержке Log4j в Apache Software Foundation Гари Грегори. — Но не в этом случае. Наоборот, многие удивлялись, насколько ужасна эта проблема».

Сохранить уязвимость в тайне удалось меньше двух недель. Восьмого декабря ее описание появилось на WeChat, и в пределах суток началась ее массовая эксплуатация хакерами, а Apache выпустила срочную «заплатку». Но отдельные случаи атак отмечались еще 1 декабря.

Почему это важно

Утилита с уязвимостью применяется очень широко, в том числе в сетевых средах с выходом в интернет. С учетом многочисленных версий, которые могут стоять практически где угодно, «накатка» обновлений может занять месяцы и годы, и все это время системы останутся уязвимыми для злоумышленников.

По международной шкале Common Vulnerability Scoring System (CVSS) уязвимость Log4j получила 10 баллов из 10 возможных. Хуже всего то, что использовать ее способен злоумышленник низкой квалификации.

Даже самый простой сканер выявляет не менее десятка тысяч сайтов с уязвимостью, а хакеры уже включили ее в наборы для взлома и используют для установки широкого набора вредоносного ПО, включая криптомайнеры и ботнеты, для закладки бэкдоров и сканирования закрытой информации.

Директор Агентства по кибербезопасности и инфраструктуре США (CISA) Джен Истерли 13 декабря провела конференцию с основными компаниями, назвав уязвимость одной из самых, если не самой серьезной в своей карьере. По ее оценке, ее будут широко использовать «продвинутые» злоумышленники как вектор входа в защищенные сети, а окно времени, в которое ее можно гарантированно закрыть, будет узким. CISA предполагает, что под угрозой сотни миллионов компьютеров.

Отдельно инцидент вызывает вопросы к самой модели ПО с открытым кодом. Выяснилось, например, что проблема возникла не позднее 2013 года и оставалась незамеченной пользователями и разработчиками восемь лет. «Я подумал — боже мой, это же мой проект, — цитирует Bloomberg одного из разработчиков Log4j, ныне вице-президента Apache Software Foundation Кристиана Гробмайера. — А потом понял, это же и Apple, и Twitter, вообще все. Полмира, может больше. Полный кошмар».

Рекомендации по защите дает, например, сайт "Лаборатории Касперского". "Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter", - отмечает он. Пока наличие уязвимости в отдельных продуктах признали компании уровня Red Hat, N-able (SolarWinds) и Minecraft, но почти гарантированно их перечень будет расти.