Steam, Apple iCloud и Minecraft уязвимы к нулевому дню

Несколько популярных сервисов, включая Apple iCloud, Steam, Amazon, Twitter, Cloudflare и Minecraft, оказались уязвимыми к «вездесущей» уязвимости нулевого дня, которая была обнаружена в широко используемой системе логирования Java под названием «log4j2», разработанной Apache Software Foundation.

Уязвимость, получившая название «Log4Shell» от исследователей кибербезопасности в LunaSec и приписываемая Ченю Чжаоцзюню из Alibaba, приводит к удаленному выполнению кода (RCE) путем логирования определенной строки, что позволяет злоумышленникам получить неконтролируемый доступ к компьютерным системам и импортировать вредоносное ПО, ставя под угрозу миллионы устройств.

Уязвимость нулевого дня была опубликована в Twitter 9 декабря вместе с доказательством концепции (POC), размещенным на GitHub.

Согласно исследователям, учитывая, насколько вездесуща эта библиотека, влияние уязвимости (полный контроль над сервером) и то, как легко ее эксплуатировать, влияние этой уязвимости (CVE-2021-44228) «достаточно серьезное».

Исследователи из LunaSec заявили, что любой, кто использует Apache Struts, также, вероятно, уязвим, добавив, что подобные уязвимости уже использовались в атаках, таких как утечка данных Equifax в 2017 году. Уязвимость на серверах Apple может быть активирована простым изменением имени iPhone.

Проблема затрагивает все версии между 2.0-beta-9 и 2.14.1. Однако LunaSec отметила, что версии Java выше 6u211, 7u201, 8u191 и 11.0.1 не подвержены уязвимости.

Уязвимость затрагивает все версии между 2.0-beta-9 и 2.14.1. Многие проекты с открытым исходным кодом, такие как сервер Minecraft, Paper, уже начали исправлять свое использование «log4j2». Обширный список ответов от затронутых организаций был представлен здесь.

Apache Software Foundation выпустила экстренное обновление безопасности в последней версии библиотеки, версии 2.15.0, чтобы исправить уязвимость нулевого дня в «log4j» вместе с мерами по смягчению последствий для тех, кто не может обновиться немедленно.

«Злоумышленник, который может контролировать сообщения логов или параметры сообщений логов, может выполнять произвольный код, загруженный с LDAP-серверов, когда включена замена поиска сообщений», - заявила Apache Foundation в своем уведомлении. «С версии Log4j 2.15.0 это поведение отключено по умолчанию.»

Тем, кто использует Log4j в своем программном обеспечении, рекомендуется немедленно обновить его до последней версии 2.15.