У бібліотеці Apache Log4j, на якій працює третина серверів інтернету, виявилася, можливо, найсерйозніша вразливість в історії. Нею вже користуються хакери, пише The Bell з посиланням на Bloomberg.
Перші повідомлення про вразливість з'явилися наприкінці листопада. Вона міститься в ключовій бібліотеці Apache Log4j, яка забезпечує гнучке настроювання та ведення логів сервера. Небезпека в тому, що вразливість дозволяє зловмиснику запустити на віддаленому комп'ютері свій код та отримати контроль над ним. Причому робиться це дуже просто, буквально одним рядком, який змушує сервер жертви перейти на сторонній сайт та виконати прописаний там скрипт.
Зважаючи на це, одним із перших звернув увагу розробника на критичний дефект співробітник служби безпеки Alibaba 24 листопада.
«Часто проблеми безпеки не такі серйозні, як здається, – прокоментував Гарі Грегорі, який багато років пропрацював у підтримці Log4j в Apache Software Foundation. – Але не в цьому випадку. Навпаки, багато хто дивувався, наскільки жахлива ця проблема».
Зберегти вразливість у таємниці вдалося менше двох тижнів. 8 грудня її опис з'явився на WeChat, і за добу вже почалася її масова експлуатація хакерами, а Apache випустила термінову «латку». Але окремі випадки атак спостерігалися ще 1 грудня.
Чому це важливо
Сервер Apache з відкритим кодом майже не поступається поширеністю серверу Nginx, тобто це основа основ інтернету та корпоративних мереж. З урахуванням численних версій, які можуть стояти практично будь-де, «накатка» оновлень може зайняти місяці і роки, і весь цей час системи залишаться вразливими для зловмисників.
За міжнародною шкалою Common Vulnerability Scoring System (CVSS) вразливість Log4j отримала 10 балів із 10 можливих. Найгірше те, що використовувати її здатний зловмисник низької кваліфікації.
Навіть найпростіший сканер виявляє не менше десятка тисяч сайтів з вразливістю, а хакери вже включили її в набори для злому та використовують для встановлення широкого набору шкідливого ПЗ, включаючи криптомайнери та ботнети, для закладки бекдорів та сканування закритої інформації.
Директор Агентства з кібербезпеки та інфраструктури США (CISA) Джен Істерлі 13 грудня провела конференцію з основними компаніями, назвавши вразливість однією з найсерйозніших у своїй кар'єрі. За її оцінкою, її будуть широко використовувати «просунуті» зловмисники як вектор входу в захищені мережі. CISA припускає, що під загрозою сотні мільйонів комп'ютерів.
Проблема виникла не пізніше 2013 року і залишалася непоміченою користувачами та розробниками вісім років.
«Я подумав – Боже мій, це ж мій проект, – цитує Bloomberg одного з розробників Log4j, нині віце-президента Apache Software Foundation Крістіана Гробмайєра. – А потім зрозумів, це ж і Apple, і Twitter і взагалі всі. Півсвіту, може більше. Повний жах».
Поки що наявність вразливості в окремих продуктах визнали компанії рівня Red Hat, N-able (SolarWinds) та Minecraft, але їх перелік зростатиме.
Як повідомлялося, Google відключила один із найбільших в історії ботнетів, заражених одним вірусом.