Перейти к содержанию

Log4Shell: критическая уязвимость в библиотеке Apache Log4j | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В интернете появились новости о критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень опасности 10 из 10 по шкале CVSS). Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Что еще хуже, злоумышленники уже активно используют эту уязвимость в атаках. Поэтому Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, воспользоваться одним из методов, описанных на странице Apache Log4j Security Vulnerabilities.

Чем опасна уязвимость CVE-2021-44228

Уязвимость CVE-2021-44228, также получившая названия Log4Shell и LogJam, относится к классу Remote Code Execution. Если злоумышленникам удастся проэксплуатировать ее на одном из компьютеров, то они смогут исполнять на нем произвольный код. Потенциально это позволит им захватить полный контроль над системой.

Что делает CVE-2021-44228 особенно опасной — это простота эксплуатации: успешную атаку через эту уязвимость может осуществить даже неопытный хакер. По словам исследователей, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, в результате чего им удастся подгрузить в приложение собственный код из-за функции message lookup substitution.

В Интернете уже можно найти рабочие доказательства осуществимости (PoC) атак при помощи CVE-2021-44228. Поэтому неудивительно, что различные компании, работающие в сфере кибербезопасности, уже регистрируют массовое сканирование сети в поисках уязвимых приложений, а также атаки на ханипоты.

Обнаружена уязвимость исследователем Ченом Жаожуном (Chen Zhaojun) из Alibaba Cloud Security Team.

 

View the full article

Umnik

Umnik

Опубликовано
Опубликовано
Quote

и как защитить серверы от атак?

Господи божечки, ну и рекомендация. Если речь про сервер, то действия выполняет не разработчик, а пользователь ПО, например админ. Он не может скачать новую версию "на страничке проекта". То есть скачать то может, но потом ему её себе в одно место вставить можно, больше ни на что это не годится. Устранять уязвимость должны авторы ПО, которые используют эту либу.

 

То есть последовательность действий такая:

1. Авторы ПО обновляют либу на новую версию

2. Выкладывают обновления

3. Потребители ПО подтягивают новую версию

 

А теперь какая последовательность действий  на самом деле:

1. Авторы ПО никогда ничего не обновят, потому что:

1.1. Кто-то уже просто умер

1.2. Кто-то забил на развитие этого ПО

1.3. Кто-то не может себе позволить такую роскошь, как обновление на нестабильные версии. Ведь релиз вышел меньше суток назад: https://github.com/apache/logging-log4j2/releases/tag/rel%2F2.15.0 (до этого были релиз кандидаты). Классно звучит - затаскивать либу, которая не прошла полный цикл тестирования и может разломать работу продукта. Сначала подождите, когда выйдет пару патчей на либу (её наспех делали). Затем ждите пару недель минимум, пока QA прогонят тесты ПО, в которую, наконец, затянут фикс. А потом ещё месяц-два, потому что будут найдены проблемы и их надо устранить

2. Админы до последнего не будут ставить апдейты ПО, потому что:

2.1. Они не знают, где используется эта либа

2.1.1. А ещё какой она вообще версии в тех ПО, в которых всё-таки используется

2.2. Боятся, что обновление ПО на серваке приведёт к выводу его из строя, потому что "работает - не трогай". Сюда же вот такое: обновление ПО занимает время и сервер будет недоступен к нормальному использованию, что означает остановку некоторых техпроцессов

2.3. Ждут инструмент, который бы им сказал, какое же ПО уязвимо, чтобы решить, можно ли его безболезненно обновить или же обновление будет запланировано на длинные выходные, если это возможно

 

Пока не выйдет инструмент обнаружения - а текущие инструменты - это наколенные поделки, которые делают проверку через атаку и через чтение логов - чесаться будут либо фирмы с бесконечным запасом денег, либо мелкие команды, потому что у них на серваке ничего критичного и за полдня можно новый развернуть, так что сломать не страшно.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Секс-шантаж с использованием ИИ: новая угроза приватности | Блог Касперского
      Автор KL FC Bot
      В 2025 году исследователи кибербезопасности обнаружили несколько открытых баз данных различных ИИ-инструментов для генерации изображений. Уже этот факт заставляет задуматься о том, насколько ИИ-стартапы заботятся о приватности и безопасности данных своих пользователей. Но куда большую тревогу вызывает характер контента в этих базах.
      Большое количество сгенерированных картинок в этих базах данных — изображения женщин в белье или вовсе обнаженных. Часть из них явно была создана на основе детских фотографий или же предполагала омоложение и оголение взрослых женщин. И наконец, самое неприятное. Некоторые порнографические изображения были сгенерированы на основе совершенно невинных фотографий настоящих людей, вероятно, взятых из соцсетей.
      Сегодня поговорим о том, что такое секс-шантаж и почему из-за ИИ-инструментов его жертвой может стать любой, опишем содержание обнаруженных открытых баз данных, а также дадим советы, как не стать жертвой секс-шантажа в эпоху ИИ.
      Что такое секс-шантаж
      Секс-шантаж в эпоху Интернета превратился в настолько распространенное явление, что даже обрел в мире собственное название – sextortion (сочетание слов sex и extortion – вымогательство). Разные его виды мы уже подробно рассматривали в посте Пятьдесят оттенков секс-шантажа. Напомним, что при этой разновидности шантажа жертву запугивают публикацией интимных изображений или видео, чтобы заставить выполнить какие-то действия или выманить деньги.
      Ранее жертвами секс-шантажа обычно становились работницы индустрии для взрослых или женщины, поделившиеся интимным контентом с ненадежным человеком.
      Однако активное развитие искусственного интеллекта и особенно технологии преобразования текста в изображения (text-to-image) коренным образом изменило ситуацию. Теперь жертвой секс-шантажа может стать буквально любой человек, выложивший в публичный доступ свои самые невинные фотографии. Все дело в том, что генеративный ИИ дает возможность быстро, легко и достаточно правдоподобно «оголить» людей на любых цифровых изображениях или за несколько секунд подставить к голове человека сгенерированное обнаженное тело.
       
      View the full article
    • KL FC Bot
      Кража денег при помощи прямой и обратной ретрансляции NFC | Блог Касперского
      Автор KL FC Bot
      Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества. Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
      Что такое ретрансляция NFC и NFCGate
      Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.
       
      View the full article
    • KL FC Bot
      Основные сценарии атак с подделкой сайта и бренда организации
      Автор KL FC Bot
      Подделка бренда, веб-сайта и рассылок компании стала распространенной техникой злоумышленников, продолжающей набирать популярность. Всемирная организация интеллектуальной собственности (WIPO) отмечает значительный рост подобных инцидентов в 2025 году. Хотя чаще всего жертвами имперсонации становятся технологические компании и потребительские бренды, в целом этой угрозе подвержены все индустрии и во всех странах — отличается только способ, которым самозванцы эксплуатируют подделку. На практике встречаются следующие сценарии атаки:
      клиентов и покупателей бренда заманивают на поддельный сайт и выманивают реквизиты доступа в настоящий онлайн-магазин фирмы либо платежные данные для прямой кражи средств; сотрудников и партнеров компании заманивают на фальшивую страницу входа в корпоративные порталы, чтобы получить легитимные учетные данные для проникновения в сеть организации; клиентов и покупателей побуждают связаться с мошенниками под разными предлогами: получение техподдержки, возврат ошибочного платежа, участие в опросе с призами, получение компенсации за те или иные публично известные события, связанные с брендом. Далее у жертвы пытаются украсть побольше денег; партнеров и сотрудников компании заманивают на специально созданные страницы, имитирующие внутренние системы фирмы, чтобы получить одобрение платежа или перенаправить легитимный платеж мошенникам; клиентам, партнерам и сотрудникам предлагают скачать на фальшивом сайте компании вредоносное ПО, чаще всего инфостилер, замаскированный под корпоративные приложения. За словами «заманивают» и «предлагают» скрывается широкий спектр тактик: почтовые рассылки, сообщения в мессенджерах и посты в соцсетях, напоминающие официальную рекламу, сайты-двойники, продвигаемые в поисковых системах инструментами SEO и даже платной рекламой.
       
      View the full article
    • KL FC Bot
      Инфостилер с маскировкой активности | Блог Касперского
      Автор KL FC Bot
      Наши эксперты обнаружили очередную волну рассылки вредоносных писем на адреса российских коммерческих организаций. Цель атаки — установка на компьютеры жертв инфостилера. Особенно любопытна эта атака тем, что в этот раз злоумышленники потратили определенные усилия для маскировки своей активности под коммуникацию с известным сайтом и работу легитимного ПО.
      Начало атаки
      Злоумышленники рассылают письмо с вредоносным вложением, замаскированным под обычный документ в формате PDF. На самом деле файл является исполняемым, просто его иконка заменена на иконку PDF, поэтому при двойном клике по файлу запускается цепочка заражения компьютера жертвы. В исследованной нами рассылке у вредоносных файлов были имена «УВЕДОМЛЕНИЕ о возбуждении исполнительного производства» и «Дополнительные выплаты», однако нельзя исключать, что злоумышленники используют и другие названия для того, чтобы убедить жертву кликнуть на файл.
      По факту, замаскированный под документ вредоносный файл является загрузчиком, собранным при помощи фреймворка .NET. Он скачивает другой загрузчик, устанавливаемый в системе в качестве службы, для закрепления на машине жертвы. Тот, в свою очередь, получает с командного сервера строчку в формате JSON с зашифрованными файлами, которые затем сохраняются на атакованном компьютере в папку C:\ProgramData\Microsoft Diagnostic\Tasks, а затем один за другим исполняются.
      Пример ответа от сервера
      Ключевая особенность такого метода доставки файлов на компьютер жертвы заключается в том, что злоумышленники могут возвращать с командного сервера абсолютно любую вредоносную нагрузку, которую загрузчик послушно скачивает и исполняет. В настоящий момент злоумышленники используют в качестве конечной нагрузки инфостилер, но потенциально эта атака может быть использована и для доставки более опасных угроз — шифровальщиков, вайперов или инструментов для более глубокого распространения в инфраструктуре жертвы.
       
      View the full article
    • KL FC Bot
      Новые законы и тенденции кибербезопасности в 2026 году | Блог Касперского
      Автор KL FC Bot
      Прошедший 2025 год серьезно изменил то, куда и как мы получаем доступ в Сети. Радикальные законодательные инициативы, появление ИИ-ассистентов и защита сайтов от ИИ-ботов перестраивают Интернет на наших глазах. Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год? По традиции опишем это в виде восьми новогодних обещаний. Что обещаем себе в 2026?
      Изучить новые законы своего региона
      Минувший год был богат на законодательные инициативы, значительно меняющие правила пользования Сетью для обычных людей. За последнее время законодатели различных стран:
      запретили соцсети подросткам; ввели строгую проверку возраста, например по удостоверению личности, при посещении тех или иных категорий сайтов; потребовали получать явное родительское согласие на доступ несовершеннолетних ко многим онлайн-сервисам; применяли разные формы давления, включая блокировки и судебные иски к онлайн-платформам, не соблюдающим уже принятые законы о защите детей — наиболее яркая ситуация здесь у Roblox. Почитайте новости на сайтах, подающих их спокойно и не сенсационно, изучите комментарии юристов. Надо понять, какие обязательства ложатся на вас, а если у вас есть несовершеннолетние дети — что меняется для них.
      Возможно, с детьми предстоят трудные разговоры о новых правилах пользования соцсетями или играми. Важно, чтобы подростковый протест не привел детей к опасным ошибкам, таким как установка вредоносного ПО, замаскированного под «мод обхода ограничений», или уход в мелкие и никем не модерируемые соцсети. Подстраховать подрастающее поколение поможет надежная защита их компьютеров и смартфонов вместе с инструментами родительского контроля.
      Но дело не сводится к простому соблюдению законов. Почти наверняка вы столкнетесь с негативными побочными эффектами, которые законодатели не предусмотрели.
       
      View the full article
×
×
  • Создать...