Слабост в популярна библиотека с отворен код прави милиони устройства уязвими

Слабост в популярна библиотека с отворен код прави милиони устройства уязвими

Дори облачни услуги като Steam и iCloud, както и приложения като Amazon, Twitter и Minecraft се оказват уязвими от атаки, използващи Log4Shell

Иван Гайдаров
400 прочитания

Уязвимост, наречена Log4Shell, открита в библиотеката с отворен код Log4j, прави милиони устройства уязвими за атаки. Както отбелязва The Verge, приложенията и услугите съхраняват запис на всички събития, които се случват, докато са активни, което дава възможност на разработчиците да анализират как се представя софтуерът и да разберат на какво се дължат грешките, ако има такива. Log4j се оказва популярна и широко използвана библиотека за регистриране и дори популярни облачни услуги като Steam и iCloud, както и приложения като Amazon, Twitter и Minecraft се оказват уязвими от атаки, използващи Log4Shell.

Според Ars Technica новината идва, след като интернет страници, свързани с Minecraft, са започнали да съобщават за уязвимост, позволяваща на хакерите да изпълняват злонамерен код в играта. Скоро след това обаче стана ясно, че проблемът не засяга само Minecraft. Изследователят по сигурността Маркъс Хътчинс, който помогна да се спре разпространението на зловредния софтуер WannaCry, нарече уязвимостта "изключително лоша", тъй като милиони приложения използват Log4j за регистрация.

Зловредните актьори биха могли да използват уязвимостта за дистанционно изпълнение на кодове на сървъри, насочвайки ги към изтегляне и стартиране на зловреден софтуер, който би компрометирал данните на компании и потребители. Най-лошото обаче е, че използването ѝ е изключително лесно и може да се стартира просто чрез публикуване на съобщение. Хътчинс коментира, че в случая с Minecraft нападателите са успели да изпълнят код дистанционно, като публикуват съобщение в чата на играта. В своя публикация компанията за сигурност на приложения LunaSec е категорична, че задействането на уязвимостта в сървърите на Apple е толкова лесно, колкото и промяната на името на iPhone.

Log4j вече публикува пач за уязвимостта. Засегнати услуги като Minecraft и Cloudflare направиха същото. Но тези, които управляват свои собствени мрежи, разчитащи на Log4j, трябва също да пренастроят системите си при първа възможност, съветват експертите.

Снимка: Pixabay

Уязвимост, наречена Log4Shell, открита в библиотеката с отворен код Log4j, прави милиони устройства уязвими за атаки. Както отбелязва The Verge, приложенията и услугите съхраняват запис на всички събития, които се случват, докато са активни, което дава възможност на разработчиците да анализират как се представя софтуерът и да разберат на какво се дължат грешките, ако има такива. Log4j се оказва популярна и широко използвана библиотека за регистриране и дори популярни облачни услуги като Steam и iCloud, както и приложения като Amazon, Twitter и Minecraft се оказват уязвими от атаки, използващи Log4Shell.

Според Ars Technica новината идва, след като интернет страници, свързани с Minecraft, са започнали да съобщават за уязвимост, позволяваща на хакерите да изпълняват злонамерен код в играта. Скоро след това обаче стана ясно, че проблемът не засяга само Minecraft. Изследователят по сигурността Маркъс Хътчинс, който помогна да се спре разпространението на зловредния софтуер WannaCry, нарече уязвимостта "изключително лоша", тъй като милиони приложения използват Log4j за регистрация.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК