Log4Shell назвали угрозой компьютерам и гаджетам по всему миру

В библиотеке журналирования log4j, широко используемой приложениями и сервисами в интернете, обнаружена уязвимость под названием Log4Shell, с помощью которой злоумышленники могут запросто получить удаленный контроль над серверами и веб-приложениями, а также компьютерами и гаджетами пользователей.

9 декабря служба облачной безопасности компании Alibaba обнаружила такую уязвимость для языка программирования Java, передает TJ.

Сообщается, что уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных.

Потенциально она даёт злоумышленникам удалённый доступ к миллионам программ в интернете, которые работают на Java.

Отмечается, что специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.

Сообщается, что при помощи Log4Shell даже самоучки могут взламывать сервера крупных компаний.

Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов.

Поскольку приложения регулярно регистрируют широкий спектр событий, таких как отправленные и полученные пользователями сообщения или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами.

Теоретически эксплойт может быть реализован даже физически, путем сокрытия строки символов в QR-коде.

Уже вышло обновление библиотеки log4j, устраняющее данную уязвимость. Но с учётом того, что обновление всех уязвимых систем в интернете требует немало времени, Log4Shell остаётся серьезной угрозой.

Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — "самой крупной и самой критической за последнее десятилетие".