Первые атаки через Log4Shell были зафиксированы 1 и 2 декабря, но массовые попытки эксплуатации начались на прошлых выходных.
Правительственные организации и частные компании срочно принимают меры по исправлению недавно раскрытой критической уязвимости в популярной утилите Log4j, которую уже пытаются эксплуатировать хакеры.
Apache Log4j представляет собой написанный на Java инструмент журналирования, использующийся в разных библиотеках с открытым исходным кодом и встроенный во многие популярные приложения.
На прошлой неделе стало известно, что в Log4j присутствует уязвимость удаленного выполнения кода ( CVE-2021-44228 ), получившая название Log4Shell. Уязвимость позволяет получить полный доступ к атакуемой системе путем принудительной регистрации затронутым приложением особой строки кода.
Команда облачной безопасности компании Alibaba сообщила разработчикам Log4j о проблеме 24 ноября, и 6 декабря она была исправлена с выходом версии Log4j 2.15.0. Вскоре были разработаны PoC-эксплоиты.
По данным Cloudflare и Cisco Talos , первые атаки с использованием Log4Shell были зафиксированы 1 и 2 декабря 2021 года, но массовые попытки эксплуатации начались на прошлых выходных. Тем не менее, атаки пока довольно вялые – никаких свидетельств того, что Log4j используется операторами вымогательского ПО или APT-группами, обнаружено не было.
Как сообщили специалисты Netlab 360, через Log4Shell хакеры заражают уязвимые Linux-устройства вредоносным ПО Mirai и Muhstik, устанавливающим криптомайнеры и позволяющим осуществлять крупномасштабные DDoS-атак. По данным специалистов компании облачной безопасности Lacework, злоумышленники также используют уязвимость для доставки на атакуемые системы криптомайнера Kinsing. По словам специалистов из Microsoft Threat Intelligence Center, уязвимость также эксплуатируется для установки Cobalt Strike. Также есть свидетельства атак через Log4Shell на Apple iCloud и Minecraft.
Шведский производитель видеоигр Minecraft выпустил обновление Minecraft: Java Edition 1.18.1, исправляющее Log4Shell.
В список затронутых уязвимостью компаний, помимо прочих, входят: Apple, Tencent, Twitter, Baidu, Steam, Minecraft, Cloudflare, Amazon, Tesla, Palo Alto Networks, IBM, Pulse Secure, Ghidra, ElasticSearch, Apache, Google, Webex, LinkedIn, Cisco и VMware. Полный список (регулярно обновляется) доступен здесь .
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) добавило Log4Shell в список известных эксплуатируемых уязвимостей и призвало федеральные гражданские управления в срочном порядке ее исправить.
Власти Канады также серьезно отнеслись к проблеме. Налоговая служба даже решила в качестве меры предосторожности отключить свои системы от интернета, хотя, по ее словам, никаких свидетельств взлома обнаружено не было.
Компания VMware выпустила уведомление безопасности, в котором предупредила пользователей о том, что большинство ее продуктов являются уязвимыми, и уже были зафиксированы попытки эксплуатации. В настоящее время она работает над выпуском патчей.
Cisco оценивает влияние Log4Shell на свои продукты и уже подтвердила, что многие из них уязвимы.
Компания Huntress выпустила инструмент, позволяющий организациям проверять свои приложения на наличие в них уязвимости CVE-2021-44228. По ее данным, поставщики управляемых сервисов, такие как Auvik, ConnectWise и N-able, также подтвердили наличие уязвимости.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале