У тысяч компаний, банков и госструктур остаётся только один способ защититься от хакеров и вирусов — перейти на самую последнюю версию библиотеки, что может затянуться надолго.
9 декабря в библиотеке логирования для программ на языке Java нашли уязвимость, которая позволяет минимальными усилиями взламывать серверы крупных компаний, банков и госучреждений. Программы на Java популярны в корпоративном секторе, а библиотеку Log4j использует большинство программ на Java для ведения логов — она пишет о том, что происходит в программе. Например, ведёт статистику пользователей в онлайн-игре или интернет-банке.
Оказалось, если передать Log4j специально оформленную строку, библиотека бесконтрольно исполнит её как программный код. Это крайне опасная и очень доступная уязвимость, даже начинающие хакеры могут через неё взламывать интернет-сервисы, онлайн-игры и корпоративные сети вроде Apple iCloud и Amazon. Только за первые трое суток после известия о Log4Shell произошло более 800 тысяч атак с попытками её использовать. В основном уязвимостью пользуются вирусы-шифровальщики и майнеры криптовалют.
Разработчики оперативно выпустили обновление Log4j 2.15 и порекомендовали изменить настройки Log4j, чтобы отключить часть функций. Однако только что обнаруженная уязвимость CVE-2021-45046 делает все эти меры бесполезными. Если передавать строку не напрямую, а через промежуточную переменную — библиотека Log4j так же бесконтрольно выполнит любой код в этой строке.
Остаётся только один способ, чтобы защититься от атаки: обновить библиотеку Log4j до новейших версий 2.16 или 2.12.2. В них разработчики полностью убрали возможность подставлять в строки специально оформленный код. Однако могут пройти недели и месяцы, прежде чем бизнес и госструктуры обновят библиотеку Log4j в своих программах, а некоторые корпоративные приложения могут быть вовсе необновляемы.
