Баг в библиотеке Log4j привёл к уязвимости «нулевого дня»

Сотни миллионов устройств оказались под угрозой.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Специалисты по кибербезопасности из Alibaba Cloud нашли опасную уязвимость в библиотеке Log4j, которая позволяет удалённо выполнять произвольный код на заражённых устройствах. Сегодня уже выпущен экстренный патч, исправляющий ошибку.

Хакеры начали эксплуатировать баг в Log4j ещё в начале декабря, согласно исследованиям Cisco и Cloudflare. А когда Apache официально признала проблему, атак стало значительно больше. Уязвимость получила название Log4Shell (CVE-2021-44228) и набрала 10 из 10 баллов по шкале CVSS.

Apache Log4j — это написанный на Java инструмент логирования ошибок. Уязвимость вынуждает приложения и серверы обрабатывать определённую строку, и после этого злоумышленник получает возможность загрузить и запустить любой скрипт на заражённом устройстве.

Ещё до того, как об ошибке стало известно, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Baidu и тысячи других компаний.

Вот как на это отреагировали пользователи Reddit:

mrcoffee83: «У меня одного уже появилась усталость от уязвимостей и всех этих штук? Кажется, что небо падает три-четыре раза в месяц».

Lawlmuffin: «Ты определённо не один. Я уже начинаю рассматривать вариант смены профессии, понимая, что это никогда не остановится. Скорее всего, всё будет только хуже».

«Когда мы уже вернёмся в прошлое и начнём полагаться на файрвол и инфраструктуру вместо того, чтобы доверять говнокоду?»

«Скажу так: я работаю в безопасности, но после таких новостей хочется уйти из профессии. Если вы работаете в маленькой команде, вы постоянно будете испытывать дикий стресс и колоссальное давление. Я абсолютно не сомневаюсь, что в этой индустрии есть люди, способные справиться с этим. Но я не такой».