Тема:

Компьютерная безопасность 37 минут назад

Против уязвимости в библиотеке Log4j не спасают патчи

Эксперты продолжают выявлять уязвимости в популярной библиотеке Log4j. При этом вышедшие ранее патчи не помогают исправить ситуацию, а только открывают новые лазейки для атак.

Кризис Log4j продолжается. Обновления в системе безопасности не спасают, а наоборот, порождают новые уязвимости. Напомню, на прошлой неделе была обнаружена уязвимость в одной из самых популярных опенсорсных программ — библиотеке журналирования для языка Java, Log4j.

Это такая функция, которая автоматически ведет дневник, что делает софт, записывает логи. По ним потом можно найти ошибку и отладить программу или сервер. Она нужна каждому сайту, серверу, программе в интернете, а Log4j настолько популярна, что ее использовали в бесчисленном количестве проектов.

Считается, что "дыра" в Log4j подвергла опасности миллионы серверов, вплоть до игровой платформы Steam и Apple iCloud. Уязвимости присвоили уровень опасности в 10 баллов из 10 возможных. Уже произошло более 800 тысяч кибератак.

Разработчик библиотеки Log4j, Apache Software Foundation, выпустил уже третий патч с обновлением, но с каждым последующим исправлением возникали дополнительные проблемы. Два предыдущих патча справились с исходной уязвимостью, но открыли новые бреши в корпоративных системах. Второй патч открыл "дыру", которой подвержены серверы только с нестандартной конфигурацией, и ее, как отмечают эксперты, пока не использовали хакеры. По разных данным, под угрозой находится более миллиона машин, на которых работает 331 тысяча веб-сайтов.

Пока разработчики Apache пытаются создать "заплатки", чтобы залатать бреши, хакеры экспериментируют с уязвимостями и модифицируют под них вредоносное ПО. По данным китайской компании Netlab 360, к 13 декабря исходную брешь и ее модификации используют не менее 10 хакерских групп из разных стран.

Исследователи даже обнаружили, что злоумышленники создали "червя" — Log4Shell. Вредоносная программа сама сканирует Сеть и заражает все найденные серверы с уязвимыми версиями Log4j вредоносным ПО.

Масштаб проблемы продолжает расти. 20 декабря Минобороны Бельгии заявило об отключении части государственных серверов из-за попыток взлома сетей с помощью уязвимости. Сетевую инфраструктуру госсектора пытаются атаковать почти в каждой стране, и при этом исследователи обнаружили одну политически мотивированную атаку через "дыру" Log4j.

Хакерская группа из Ирана Charming Kitten (также известная как APT-35) пыталась получить доступ к критической инфраструктуре государства Израиль. По данным Check Point Software Technologies, в России уязвимость Log4Shell затронула 72% телеком-компаний, 58% производства и 57% предприятий розничной и оптовой торговли. Ее воздействию подвержены до 52% корпоративных сетей.

Всем компаниям разработчики советуют срочно обновить библиотеку Log4j до последней версии. И добавляют, что на исправление всех уязвимых компонентов, связанных с Log4j, могут уйти годы.