Уязвимость в распространенной библиотеке Log4j для Java поставила под угрозу безопасность крупнейших сервисов и приложений

Уязвимость в широко используемой библиотеке логирования Apache Log4j для программной платформы Java поставила под угрозу безопасность многочисленных интернет-сервисов и приложений, и злоумышленники уже пытаются ее использовать. Об этом пишет Wired.

Суть уязвимости вкратце такова: если каким-либо образом вынудить Log4J записать в журнал событий приложения строку с определенной командой, это позволит злоумышленнику удаленно запускать любой необходимый ему код, в том числе вредоносный. Уязвимости присвоено кодовое обозначение CVE-2021-44228.

Java не столь популярна у современных разработчиков, однако существенная часть корпоративного программного обеспечения и веб-приложений ее использует. Так, под угрозой оказались веб-сервер Apache Tomcat, используемый в том числе торговым гигантом Alibaba, система для полнотекстового поиска Еlasticsearch, которую используют Wikimedia и Github, а также популярные средства для менеджмента разработки Jira и Confluence.

Wired приводит примеры использования уязвимости: пользователи отправляют нужную команду в чат популярной игры Minecraft или меняют имена айфонов, чтобы заставить Apple ее залогировать.

«Мы пришли к выводу, что уязвимость в Log4J настолько опасна, что попытаемся внедрить хотя бы какую-то защиту для всех пользователей по умолчанию, даже для бесплатных клиентов, — пишет основатель компании-провайдера DNS-сервисов Cloudflare Мэтью Принс. — Это серьезная уязвимость, которую уже активно используют».

Команда быстрого компьютерного реагирования (CERT) немецкого Deutsche Telekom уже 10 декабря зафиксировала масштабные попытки использовать уязвимость, исходившие из сетей Tor. При этом специалисты по кибербезопасности обсуждают и угрозу hidden-серверам самого Tor, IP-адреса которых из-за уязвимости могут стать видимыми.