Как российские IT-компании борются с одной из самых больших уязвимостей в коде Java
В конце ноября в самом популярном инструменте для программистов, библиотеке Java была обнаружена, возможно, самая большая уязвимость в истории современных компьютеров — Log4Shell. С ее помощью хакеры могут получить доступ практически к любому сервису в мире. Уязвимость заставила «Яндекс», VK и другие российские компании провести внеплановые работы по ее устранению. Но хакеры уже успели получить с помощью Log4Shell доступ к большому количеству данных, полагают эксперты по кибербезопасности.
Культурная особенность
В конце ноября исследователь Alibaba Group Чен Чжаоцзюн обнаружил в библиотеке Apache критическую уязвимость Log4j, которую разработчики по всему миру используют для работы приложений, написанных на языке программирования Java. Поскольку Java — один из самых популярных языков программирования, практически в каждой организации есть продукт, написанный на этом языке, поэтому уязвимость затронула практически все крупные компании — Amazon, Twitter, Cisco, IBM, Apple, Google, Cloudflare, Steam и др. Уязвимость получила название Log4Shell. В международной системе Common Vulnerability Scoring System (CVSS) опасность этой уязвимости уже оценили на 10 баллов из 10.
Поскольку на Java разработчики создают и кроссплатформенное программное обеспечение, работающее на Windows, Linux, MacOS, это расширяет список подверженных уязвимости устройств, говорит эксперт по техническому расследованию инцидентов Solar JSOC CERT компании «Ростелеком-Солар» Аскар Джамирзе.
Это весьма серьезная инфраструктурная уязвимость, подтверждает основатель и генеральный директор компании, предоставляющей услуги по сетевой безопасности Qrator Labs Александр Лямин. «В прошлую пятницу куча сервисов, в том числе наши клиенты, начали ее исправлять. Это глобальная проблема, но в открытых источниках найти сведения о пострадавших невозможно — никто никогда не признается: в США компании боятся, что клиенты подадут на них в суд, а в России есть культурная особенность, согласно которой нельзя выглядеть уязвимым», — отметил Лямин.
С помощью Log4Shell хакеры получают доступ к удаленному управлению компьютерами, серверами и облачными ресурсами; злоумышленники могут использовать их для установки вредоносных программ, рассылки спама или DDoS-атак, объяснил директор по коммуникациям Infosecurity Александр Дворянский.
В профессиональном сообществе уже говорят о том, что уязвимость взяли на вооружение вымогатели, криптомайнеры и даже организованные группы хакеров, рассказал Джамирзе. «За примерами того, как может развиваться ситуация, далеко ходить не надо, ведь мы до сих пор сталкиваемся с успешными атаками с использованием похожей по своей критичности уязвимости EternalBlue, которой уже больше четырех лет», — добавил он.