10 баллов из 10. В основе интернета вскрылась одна из худших в истории уязвимостей

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

В утилите Apache Log4j, почти повсеместно применяющейся для логирования, обнаружилась, возможно, самая серьезная уязвимость в истории. Ею уже пользуются хакеры.

Что случилось

Первые сообщения об уязвимости появились в конце ноября, пишет Bloomberg. Она содержится в ключевой библиотеке Apache Log4j, которая обеспечивает гибкую настройку и ведение логов. Опасность в том, что уязвимость позволяет злоумышленнику запустить на удаленном компьютере свой код и получить над ним контроль. Причем делается это очень просто, буквально одной строчкой, которая заставляет сервер жертвы перейти на сторонний сайт и выполнить прописанный там скрипт.

Судя по всему, одним из первых обратил внимание разработчика на критический дефект сотрудник службы безопасности Alibaba 24 ноября. «Чаще всего проблемы безопасности не так серьезны, как кажется, — сказал Bloomberg много лет проработавший в поддержке Log4j в Apache Software Foundation Гари Грегори. — Но не в этом случае. Наоборот, многие удивлялись, насколько ужасна эта проблема».

Сохранить уязвимость в тайне удалось меньше двух недель. Восьмого декабря ее описание появилось на WeChat, и в пределах суток началась ее массовая эксплуатация хакерами, а Apache выпустила срочную «заплатку». Но отдельные случаи атак отмечались еще 1 декабря.

Почему это важно

Утилита с уязвимостью применяется очень широко, в том числе в сетевых средах с выходом в интернет. С учетом многочисленных версий, которые могут стоять практически где угодно, «накатка» обновлений может занять месяцы и годы, и все это время системы останутся уязвимыми для злоумышленников.

По международной шкале Common Vulnerability Scoring System (CVSS) уязвимость Log4j получила 10 баллов из 10 возможных. Хуже всего то, что использовать ее способен злоумышленник низкой квалификации.

Даже самый простой сканер выявляет не менее десятка тысяч сайтов с уязвимостью, а хакеры уже включили ее в наборы для взлома и используют для установки широкого набора вредоносного ПО, включая криптомайнеры и ботнеты, для закладки бэкдоров и сканирования закрытой информации.

Директор Агентства по кибербезопасности и инфраструктуре США (CISA) Джен Истерли 13 декабря провела конференцию с основными компаниями, назвав уязвимость одной из самых, если не самой серьезной в своей карьере. По ее оценке, ее будут широко использовать «продвинутые» злоумышленники как вектор входа в защищенные сети, а окно времени, в которое ее можно гарантированно закрыть, будет узким. CISA предполагает, что под угрозой сотни миллионов компьютеров.

Отдельно инцидент вызывает вопросы к самой модели ПО с открытым кодом. Выяснилось, например, что проблема возникла не позднее 2013 года и оставалась незамеченной пользователями и разработчиками восемь лет. «Я подумал — боже мой, это же мой проект, — цитирует Bloomberg одного из разработчиков Log4j, ныне вице-президента Apache Software Foundation Кристиана Гробмайера. — А потом понял, это же и Apple, и Twitter, вообще все. Полмира, может больше. Полный кошмар».

Рекомендации по защите дает, например, сайт "Лаборатории Касперского". "Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter", - отмечает он. Пока наличие уязвимости в отдельных продуктах признали компании уровня Red Hat, N-able (SolarWinds) и Minecraft, но почти гарантированно их перечень будет расти. 

Скопировать ссылку

Что будет дальше со ставкой ЦБ, штрафы за поиск в интернете и летние скидки на подписку на The Bell

Банк России на заседании в пятницу снизил ставку сразу на 2 процентных пункта — с 20% до 18% и прямо намекнул на возможность дальнейшего агрессивного снижения до конца года. Регулятор признал, что на фоне замедления экономики инфляция сокращается быстрее, чем ожидалось. Но в среднесрочной перспективе ЦБ настроен осторожно и предупреждает, что продолжение роста расходов бюджета может привести к изменению денежной политики.

Сезон слабых отчетов: какие компании способны удивить рынок

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Рассылки The Bell стали платными. Подписывайтесь!

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Долю Baring Vostok в Ozon выкупил инвестор «Яндекса» Александр Чачава

В России — новый серийный техномиллиардер. Долю Baring Vostok в Ozon получил инвестор Александр Чачава. Он же после начала войны выкупил у VK игровое подразделение My.Games и стал совладельцем «Яндекса» после ухода Воложа.