Log4Shell назвали загрозою комп'ютерам та гаджетам по всьому світу

У бібліотеці журналування log4j, що широко використовується програмами та сервісами в інтернеті, виявлено вразливість під назвою Log4Shell, за допомогою якої зловмисники можуть запросто отримати віддалений контроль над серверами та веб-додатками, а також комп'ютерами та гаджетами користувачів.

9 грудня служба хмарної безпеки компанії Alibaba виявила таку вразливість мови програмування Java, передає TJ.

Повідомляється, що вразливість отримала ідентифікатор CVE-2021-44228 та максимальний рівень загрози – 10 балів із 10 можливих.

Потенційно вона дає зловмисникам віддалений доступ до мільйонів програм в інтернеті, які працюють на Java.

Зазначається, що фахівці дізналися про проблему у листопаді під час дослідження безпеки сервера гри Minecraft. Вони перехопили керування сервером, відправивши повідомлення до ігрового чату. Першу кібератаку з використанням нової вразливості помітили вже 1 грудня.

Повідомляється, що за допомогою Log4Shell навіть самоучки можуть зламувати сервери великих компаній.

Щоб скористатися вразливістю, зловмисник повинен змусити програму зберегти в журналі спеціальний рядок символів.

Оскільки програми регулярно реєструють широкий спектр подій, таких як надіслані та отримані користувачами повідомлення або докладні відомості про системні помилки, вразливість надзвичайно проста у використанні та може бути викликана різними способами.

Теоретично експлойт може бути реалізований навіть фізично шляхом приховування рядка символів у QR-коді.

Вже відбулося оновлення бібліотеки log4j, що усуває цю вразливість. Але з урахуванням того, що оновлення всіх вразливих систем в інтернеті потребує багато часу, Log4Shell залишається серйозною загрозою.

Компанії намагаються виправити положення за допомогою оновлень програм, зміни налаштувань Log4j та самописаних патчів. При цьому компанії називають ситуацію катастрофічною, а вразливість - "найбільшою і найкритичнішою за останнє десятиліття".