У бібліотеці журналювання log4j знайшли небезпечну вразливість Log4Shell. Вона допомагає шахраям віддалено впроваджувати шкідливе програмне забезпечення з допомогою лише одного рядка коду, пише The Verge.
Що сталося
У бібліотеці журналів із відкритим вихідним кодом log4j, яку використовують застосунки та служби в інтернеті, виявили вразливість Log4Shell. Вона дозволяє хакерам віддалено виправляти код на вразливих серверах і впроваджувати шкідливе програмне забезпечення на пристроях користувачів.
Вперше вразливість виявили на сайтах із серверами гри Minecraft. Виявилося, що зловмисники можуть активувати вразливість, надсилаючи повідомлення у чаті. У компанії з аналізу безпек GreyNoise заявили, що вже знайшли безліч серверів, які шукають в інтернеті системи, вразливі для Log4Shell.
Також вразливість було знайдено на ігрових платформах Steam та Apple iCloud, повідомили в компанії LunaSec. У Valve та Apple не коментують ці заяви. Проте експерти впевнені, що під загрозу можуть потрапити Tencent, Twitter, CloudFlare, Amazon, Tesla, Minecraft і VMWare.
Що далі
Вразливість виявили в бібліотеці Log4j версій до 2.14.1. Проте вже вийшла нова версія 2.15.0. Але оновлення всіх вразливих систем в інтернеті потребує чимало часу, тому Log4Shell залишається серйозною загрозою.