Log4Shell угрожает миллионам серверов по всему миру

Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.

Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.

Написанный на Java инструмент журналирования Apache Log4j используется в несметном числе программ. Тем самым проблема затрагивает миллионы компьютеров. Всего одна строка кода с использованием синтаксиса ${} позволяет включать команды в пользовательские агенты браузеров или другие часто регистрируемые атрибуты. При обработке заражённых логов уязвимая система загружает вредоносный скрипт из указанного злоумышленником домена и обрабатывает его, чем предоставляет удалённый доступ неавторизованному лицу. Иначе говоря, уязвимое приложение или сервер переходит под контроль злоумышленника.

По данным источников, Log4Shell уже используется для заражения уязвимых устройств вредоносами Mirai и Muhstik для установки криптомайнеров и для масштабных DDoS-атак. Также зафиксирована загрузка криптомайнера Kinsing. Уже известно об атаках на Apple iCloud и Minecraft, а Microsoft сообщила о случаях сброса маяков Cobalt Strike, что намекает о скорой атаке на серьёзные сетевые ресурсы.

Постоянно пополняемый список затронутых уязвимостью компаний и сервисов можно найти на странице https://github.com/YfryTchsGD/Log4jAttackSurface

Опубликовано: 13 декабря 2021