Новая уязвимость угрожает миллионам приложений и сервисов

Эксперты обнаружили в популярной библиотеке логирования Apache Log4j критическую уязвимость, о которой ничего не было известно ранее. "Дыра" ставит под угрозу безопасность миллионов приложений и интернет-сервисов.

Едва ли не худшая уязвимость, которая только может существовать: исследователи обнаружили "дыру" в безопасности миллионов приложений и сервисов (вплоть до игровой платформы Steam и серверов Apple iCloud), которую, к тому же, предельно легко эксплуатировать.

Уязвимости уже присвоили 10 баллов из 10 возможных, а США и Германия официально заявили о том, что ситуация крайне опасная. Суть в том, что уязвимость обнаружили в популярном инструменте для сбора и хранения логов. Это система, которая фиксирует все происходящее на сервере и разработана уважаемой Apache Software Foundation.

По сути, этот инструмент не предполагает никаких собственных активных действий, но тут выяснилось, что определенный набор служебных символов, попавший в этот лог, может вызвать выполнение определенной команды.

В качестве примера исследователи показали, как всего одна строка в чате игры Minecraft позволяет получить доступ ко всему серверу. Дальше с ним можно делать что угодно: от похищения или шифрования данных до установки зловредного ПО, например, для шпионажа или скрытого майнинга криптовалют.

И главное — это уязвимость нулевого дня, то есть "дыра", о которой до этого не знали сами разработчики, и защиты от которой не было. Как сообщает крупный провайдер Cloudflare, по их данным, похоже, что до объявления о проблеме злоумышленники не использовали уязвимость. Самые ранние следы, которые нашли исследователи, относятся к 1 декабря, и признаков массовых атак не было.

Однако уже в минувшие выходные начались именно веерные атаки на серверы. По оценкам Департамента внутренней безопасности США, эта уязвимость будет доставлять проблемы специалистам по киберзащите как минимум в течение полугода. Дело в том, что разработчики уже выпустили патч, закрывающий уязвимость, но обычно далеко не все обновляются быстро.

Обнаружение именно уязвимостей нулевого дня в подобных массовых продуктах в последнее время становится тенденцией. В этом году вообще установлен рекорд по выявлению именно таких угроз: их нашли аж более 60 штук — это вдвое больше, чем в 2020-м году. В числе самых известных продуктов — браузер Google Chrome и корпоративная почта Microsoft Exchange.

Среди причин таких рекордов называют две. Во-первых, быстрая цифровизация всего и вся, лишь ускорившаяся с массовыми карантинами и удаленками. И одновременное увеличение числа хакеров. Просто потому, что многие их инструменты теперь предлагаются как сервис, и необходимый уровень квалификации стал ниже. А во-вторых, развиваются средства защиты, и безопасники сами быстрее находят "дыры" и закрывают их. Впрочем, те 60 с лишним найденных критических уязвимостей — это то, о чем стало известно. Сколько еще не нашли — неведомо.

***

Российские правообладатели совместно с поисковиками придумали новый способ бороться с пиратами: из поиска теперь будут удалять сайты целиком. Если на этом сайте найдут больше сотни ссылок на нелегальный контент. По данным "Ведомостей", это станет одним из нововведений второй версии антипиратского меморандума, который поисковики и правообладатели намерены подписать до конца этого года

Еще одним дополнением существующих практик обещают некий инструмент, который не позволит пиратам обновлять адрес ссылки и при этом оставаться на той же позиции в поисковой выдаче.

Ну и, возможно, главный момент: речь идет о том, чтобы расширить действие антипиратского меморандума за пределы аудиовизаульного контента и включить в список участников обладателей прав на книги и музыку.