Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений

Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен экстренный патч, который исправляет данную ошибку.

Упомянутая уязвимость получила название Log4Shell (CVE-2021-44228) и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплоит допускает удалённое выполнение произвольного кода (RCE), причём для этого не нужны особые технические навыки.

Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, обрабатывать определенную строку в своих внутренних системах. За счёт чего становится возможно загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Впервые уязвимость была обнаружена во время поиска багов на сервере Minecraft. Однако она затрагивала все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно игрового чата.

Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена во все корпоративные продукты, выпущенные Apache Software Foundation.

Ситуация осложняется тем, что об уязвимости стало широко известно до того, как было выпущено исправление библиотеки. По словам экспертов из компании LunaSec, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний.

В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена.