Недавно обнаруженная уязвимость под названием Log4Shell, присутствующая в библиотеке журналов с открытым исходным кодом Log4j, делает миллионы устройств уязвимыми для самых различных хакерских атак. И как отмечает авторитетное издание The Verge, приложения и сервисы, использующие библиотеку Log4j, ведут запись всех событий, которые происходят во время их работы, давая им возможность анализировать то, как их программа работает, а также выяснять, что же именно пошло не так в случае ошибок. Log4j, если вы не в курсе, является невероятно популярной и весьма широко используемой библиотекой журналов.
Данная библиотека на столько популярна, что сейчас даже самые популярные облачные сервисы, такие как, например, Steam и iCloud, а также приложения, такие как Amazon, Twitter и Minecraft, уязвимы для атак, использующих Log4Shell. И если же ссылаться на сообщение авторитетного издания в лице Ars Technica, то впервые об этом стало известно после того, как веб-сайт и сервера Minecraft начали сообщать об уязвимости, позволяющей хакерам применять вредоносный код в игре. Однако уже совсем скоро стало ясно, что данная проблема касается не только лишь одного Minecraft.
Маркус Хатчинс, известный исследователь в области безопасности, который в своё время помог остановить распространение вредоносного ПО в лице WannaCry, назвал свежеобнаруженную уязвимость «крайне плохой», поскольку миллионы приложений используют Log4j для ведения журналов. И в целом, злоумышленники могут использовать вышеупомянутую уязвимость ради удалённого внедрения и исполнения кодов на серверах, направляя их на загрузку и запуск вредоносных программ, которые потенциально способны поставить под угрозу данные самых различных компаний и людей.
Более того, усугубляет ситуацию и то, что использовать уязвимость довольно-таки просто, в то время как активировать её можно просто-напросто отправив сообщение. Маркус Хатчинс уже сказал, что в случае с Minecraft злоумышленники могли удалённо выполнить код, разместив сообщение в чате, что подвергало опасности буквально всех игроков на том или ином сервере. Важно упомянуть, что в своём блоге компания LunaSec, занимающаяся обеспечением безопасности приложений, заявила, что активировать уязвимость на серверах Apple так же просто, как изменить имя iPhone. Так что от Log4Shell не сможет защитить даже хвалёная система защиты Apple.
