10 баллов из 10. В основе интернета вскрылась одна из худших в истории уязвимостей

В утилите Apache Log4j, почти повсеместно применяющейся для логирования, обнаружилась, возможно, самая серьезная уязвимость в истории. Ею уже пользуются хакеры.

Что случилось

Первые сообщения об уязвимости появились в конце ноября, пишет Bloomberg. Она содержится в ключевой библиотеке Apache Log4j, которая обеспечивает гибкую настройку и ведение логов. Опасность в том, что уязвимость позволяет злоумышленнику запустить на удаленном компьютере свой код и получить над ним контроль. Причем делается это очень просто, буквально одной строчкой, которая заставляет сервер жертвы перейти на сторонний сайт и выполнить прописанный там скрипт.

Судя по всему, одним из первых обратил внимание разработчика на критический дефект сотрудник службы безопасности Alibaba 24 ноября. «Чаще всего проблемы безопасности не так серьезны, как кажется, — сказал Bloomberg много лет проработавший в поддержке Log4j в Apache Software Foundation Гари Грегори. — Но не в этом случае. Наоборот, многие удивлялись, насколько ужасна эта проблема».

Сохранить уязвимость в тайне удалось меньше двух недель. Восьмого декабря ее описание появилось на WeChat, и в пределах суток началась ее массовая эксплуатация хакерами, а Apache выпустила срочную «заплатку». Но отдельные случаи атак отмечались еще 1 декабря.

Почему это важно

Утилита с уязвимостью применяется очень широко, в том числе в сетевых средах с выходом в интернет. С учетом многочисленных версий, которые могут стоять практически где угодно, «накатка» обновлений может занять месяцы и годы, и все это время системы останутся уязвимыми для злоумышленников.

По международной шкале Common Vulnerability Scoring System (CVSS) уязвимость Log4j получила 10 баллов из 10 возможных. Хуже всего то, что использовать ее способен злоумышленник низкой квалификации.

Даже самый простой сканер выявляет не менее десятка тысяч сайтов с уязвимостью, а хакеры уже включили ее в наборы для взлома и используют для установки широкого набора вредоносного ПО, включая криптомайнеры и ботнеты, для закладки бэкдоров и сканирования закрытой информации.

Директор Агентства по кибербезопасности и инфраструктуре США (CISA) Джен Истерли 13 декабря провела конференцию с основными компаниями, назвав уязвимость одной из самых, если не самой серьезной в своей карьере. По ее оценке, ее будут широко использовать «продвинутые» злоумышленники как вектор входа в защищенные сети, а окно времени, в которое ее можно гарантированно закрыть, будет узким. CISA предполагает, что под угрозой сотни миллионов компьютеров.

Отдельно инцидент вызывает вопросы к самой модели ПО с открытым кодом. Выяснилось, например, что проблема возникла не позднее 2013 года и оставалась незамеченной пользователями и разработчиками восемь лет. «Я подумал — боже мой, это же мой проект, — цитирует Bloomberg одного из разработчиков Log4j, ныне вице-президента Apache Software Foundation Кристиана Гробмайера. — А потом понял, это же и Apple, и Twitter, вообще все. Полмира, может больше. Полный кошмар».

Рекомендации по защите дает, например, сайт "Лаборатории Касперского". "Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter", - отмечает он. Пока наличие уязвимости в отдельных продуктах признали компании уровня Red Hat, N-able (SolarWinds) и Minecraft, но почти гарантированно их перечень будет расти. 

Скопировать ссылку
Бери или беги. Что делать инвесторам в ожидании коррекции
13 декабря 2021

На правах рекламы

В российской торговле появятся два новых рынка по 1 трлн руб. Какие форматы будут расти, пока весь рынок замедляется?
Invalid date

Почему ЦБ решил запретить криптовалюты и что из этого выйдет

Рынок ждал этого с конца прошлого года — и это произошло: ЦБ выпустил разгромный доклад о криптовалютах, в котором предложил полностью запретить их майнинг и оборот в России. Но судьба этих предложений может оказаться непростой — по данным The Bell, остальные ведомства не считают такие жесткие ограничения оправданными. Участники рынка предсказуемо восприняли их в штыки — они уверяют, что предложения ЦБ невыполнимы, а вместо контролируемого крипторынка регулятор получит черный.

Как инвестору правильно диверсифицировать портфель

Большинство аналитиков ожидают, что рынки в 2022 году не принесут инвесторам такой же высокой доходности, как последние три года, а некоторые прогнозируют коррекцию. Одним из главных рецептов против рыночных колебаний и кризисов считается диверсификация, но вопрос о том, как именно и насколько глубоко должен быть диверсифицирован портфель, остается крайне дискуссионным. В этом материале мы рассказываем, что знает о правильной диверсификации наука и о чем инвестору точно стоит подумать перед приближением шторма.

«Когда мы придумали Viber, слова "мессенджер" еще не было». Сооснователь Viber — о сравнениях с WhatsApp, битве с Uber и 3 стартапах

Игорь Магазиник — один из самых успешных мировых серийных предпринимателей с российскими корнями. На его счету три глобальных бизнеса, в которых он был сооснователем: Viber — первый мессенджер, который сделал бесплатными звонки внутри телефонной книжки; iMesh позволял пользователям бесплатно обмениваться музыкой и фильмами; сервис такси Juno боролся с потребительским отношением к водителям. Успехов Магазиник добивался уже не на родине: еще в 16 он эмигрировал из Нижнего Новгорода в Тель-Авив, где окончил класс с углубленным изучением информатики и в армии познакомился с будущим партнером Тальмоном Марко. Какие главные ошибки они совершили в борьбе с конкурентами? Что делать, чтобы выйти на разогретый рынок с глобальными игроками? Как монетизировать бесплатные сервисы рекламой и не потерять пользователей? Почему не стоит бояться размывания доли в стартапе и как лучше привлекать инвестиции? Обо все этом, а также о своих новых проектах H2Pro и Altis предприниматель рассказал в интервью «Русским норм!» Самые яркие моменты беседы Игоря Магазиника и Елизаветы Осетинской — ниже.

Предполагаемые хакеры The Infraud Organization арестованы

Тверской суд Москвы в пятницу назначил меру пресечения вероятным хакерам The Infraud Organization, сообщает ТАСС. Основатель группировки Андрей Новак был отправлен в СИЗО, а еще трое участников — под домашний арест.

США попросили Россию не обнародовать ответ по гарантиям безопасности — WP

Американские официальные лица попросили российских коллег сохранить ответ Вашингтона на предложения Москвы по гарантиям безопасности в секрете, узнал The Washington Post. При этом высокопоставленный сотрудник Госдепартамента признал, что Кремль может обнародовать документ. Он должен быть передан на следующей неделе.

Дуров раскритиковал предложение ЦБ о запрете криптовалют в России

Основатель мессенджера Telegram Павел Дуров выступил с резкой критикой доклада ЦБ о криптовалютах. Для защиты экономики от них регулятор на этой неделе предложил радикальные меры: запретить в России выпуск и оборот криптовалют, а за любые операции с ними — наказывать.

Нервный срыв на рынках, запрет криптовалют и основатель Viber в «Русских норм!»

Четырехдневный обвал на Мосбирже проверил нервы розничных инвесторов

Страховка биткоином. Что ждать от криптовалют в 2022 году

На этой неделе рынок криптовалют получил напоминание о регуляторных рисках: предложение ЦБ запретить майнинг и оборот криптовалют в России привело к падению курса биткоина до пятимесячного минимума. Но к взлетам и падениям этому рынку не привыкать. В прошлом году криптовалюты установили сразу несколько рекордов: в апреле их общая капитализация впервые превысила $2 трлн, а в ноябре — $3 трлн. На этой волне многие инвесторы начали расценивать криптовалюты как защитный актив от ускорения инфляции. Рассказываем, так ли это и какое место в портфеле они могут занимать.
Pexels.com @