Время от времени мы видим новые эксплойты , которые доказывают, насколько проблематичными они могут быть в руках плохих людей. Ситуация еще более критическая, когда мы говорим об эксплойте нулевого дня. Последний эксплойт был обнаружен в библиотеке журналов Apache Log4j. В сети опубликовали экспериментальный эксплойт. Он раскрывает истинный потенциал атак с удаленным выполнением кода и затронул некоторые из крупнейших веб-сервисов. Эксплойт был идентифицирован как «активно эксплуатируемый», носит прозвище «Log4Shell» и является одним из самых опасных эксплойтов, обнародованных за последние годы. Это может повлиять практически на все, от устройств Apple до простых приложений и игр, таких как Minecraft.
Для тех, кто не знает, Log4j — популярный пакет протоколирования на основе Java. За этим стоит Apache Software Foundation. Это исправление CVE-2021-44228, которое влияет на все версии Log4j от версии 2.0-beta9 до версии 2.14.1. Он был пропатчен в самой последней версии библиотеки, версии 2.15.0. Однако многие службы и приложения в настоящее время полагаются на Log4j. Это распространяется как на устройства Apple, так и на такие игры, как Minecraft. Облачные сервисы, такие как Steam и Apple iCloud, также находятся в списке уязвимых, и мы предполагаем, что это касается всех, кто использует Apache Struts. Даже изменение имени iPhone может вызвать уязвимость на серверах Apple.
История из трех частей 😶 # log4j pic.twitter.com/XMl02BcaJY
— Кас ван Кутен (@chvancooten) 10 декабря 2021 г.
Чэнь Чжаоцзюнь из группы облачной безопасности Alibaba был первым, кто обнаружил эту проблему. Согласно отчету, любая служба, которая регистрирует контролируемые пользователем строки, в настоящее время уязвима для эксплойта. Стремление к управляемой пользователем строке — обычная практика для системных администраторов. Это помогает выявить потенциальное злоупотребление платформой. Кроме того, они используют его для очистки пользовательского ввода и проверки того, что для программного обеспечения нет ничего вредного.
Простое действие, например изменение имени iPhone, может вызвать эксплойт Log4Shell
Эксплойт носит прозвище «Log4Shell», поскольку это неаутентифицированная RCE-уязвимость, позволяющая полностью перехватить контроль над системой. В сети уже есть экспериментальный эксплойт. До смешного легко продемонстрировать, что это работает с помощью программного обеспечения для ведения журнала DNS.
Согласно цитате из Bleeping Computer, злоумышленники немедленно начнут использовать эту уязвимость. Фактически, злоумышленники уже массово сканируют Интернет, пытаясь найти серверы для использования. Это похоже на другие известные уязвимости, включая Heartbleed и Shellshock. Стоит отметить, что, согласно LunaSec , некоторые версии Java выше 6u211, 7u201, 8u191 и 11.0.1 теоретически менее подвержены влиянию, хотя хакеры все еще могут обойти ограничения.
Как упоминалось выше, Log4Shell можно просто запустить, изменив имя iPhone. Более того, если класс Java добавлен в конец URL-адреса, то этот класс будет внедрен в серверный процесс.
Источник / VIA:
