Log4Shell — самая большая уязвимость в истории современных компьютеров

ForbesHi-Tech

Как российские IT-компании борются с одной из самых больших уязвимостей в коде Java

Владислав Скобелев, Анастасия Скрынникова

Фото Getty Images

В конце ноября в самом популярном инструменте для программистов, библиотеке Java была обнаружена, возможно, самая большая уязвимость в истории современных компьютеров — Log4Shell. С ее помощью хакеры могут получить доступ практически к любому сервису в мире. Уязвимость заставила «Яндекс», VK и другие российские компании провести внеплановые работы по ее устранению. Но хакеры уже успели получить с помощью Log4Shell доступ к большому количеству данных, полагают эксперты по кибербезопасности.

Культурная особенность

В конце ноября исследователь Alibaba Group Чен Чжаоцзюн обнаружил в библиотеке Apache критическую уязвимость Log4j, которую разработчики по всему миру используют для работы приложений, написанных на языке программирования Java. Поскольку Java — один из самых популярных языков программирования, практически в каждой организации есть продукт, написанный на этом языке, поэтому уязвимость затронула практически все крупные компании — Amazon, Twitter, Cisco, IBM, Apple, Google, Cloudflare, Steam и др. Уязвимость получила название Log4Shell. В международной системе Common Vulnerability Scoring System (CVSS) опасность этой уязвимости уже оценили на 10 баллов из 10.

Поскольку на Java разработчики создают и кроссплатформенное программное обеспечение, работающее на Windows, Linux, MacOS, это расширяет список подверженных уязвимости устройств, говорит эксперт по техническому расследованию инцидентов Solar JSOC CERT компании «Ростелеком-Солар» Аскар Джамирзе.

Это весьма серьезная инфраструктурная уязвимость, подтверждает основатель и генеральный директор компании, предоставляющей услуги по сетевой безопасности Qrator Labs Александр Лямин. «В прошлую пятницу куча сервисов, в том числе наши клиенты, начали ее исправлять. Это глобальная проблема, но в открытых источниках найти сведения о пострадавших невозможно — никто никогда не признается: в США компании боятся, что клиенты подадут на них в суд, а в России есть культурная особенность, согласно которой нельзя выглядеть уязвимым», — отметил Лямин.

С помощью Log4Shell хакеры получают доступ к удаленному управлению компьютерами, серверами и облачными ресурсами; злоумышленники могут использовать их для установки вредоносных программ, рассылки спама или DDoS-атак, объяснил директор по коммуникациям Infosecurity Александр Дворянский.

В профессиональном сообществе уже говорят о том, что уязвимость взяли на вооружение вымогатели, криптомайнеры и даже организованные группы хакеров, рассказал Джамирзе. «За примерами того, как может развиваться ситуация, далеко ходить не надо, ведь мы до сих пор сталкиваемся с успешными атаками с использованием похожей по своей критичности уязвимости EternalBlue, которой уже больше четырех лет», — добавил он.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Система П.В.О. – Пелевин Виктор Олегович Система П.В.О. – Пелевин Виктор Олегович

Журналист Роман Супер позвонил писателю Виктору Пелевину, но ошибся номером

Esquire
Топ игр для слабых ПК: чем занять себя в свободное время Топ игр для слабых ПК: чем занять себя в свободное время

Экшены, шутеры и гонки для слабых ПК — выбирай на свой вкус!

Playboy
Найден более быстрый маршрут к форме Найден более быстрый маршрут к форме

Конкретные советы о том, как растить ваш бицепс

Men’s Health
Emin Emin

Блиц-интервью с Эмином Агаларовым: неожиданные вопросы и быстрые ответы

ЖАРА Magazine
20 вещей, которые могут тебе пригодиться в постели 20 вещей, которые могут тебе пригодиться в постели

Объекты и явления, при помощи которых твой секс будет еще великолепнее

Maxim
Почему зверобой нельзя принимать без консультации с врачом Почему зверобой нельзя принимать без консультации с врачом

Зверобой успокаивает и обезболивает, но принимать его можно не всем

РБК
Сила воли: что мешает нам добиваться цели Сила воли: что мешает нам добиваться цели

Проблема отсутствия силы воли – в образе жизни, который ее ослабляет

Psychologies
Глазами робота: что такое Глазами робота: что такое

Раздел робототехники, который позволяет роботам эффективнее работать

Популярная механика
Альянсы и союзы Альянсы и союзы

Первая часть ответов на вопросы об альянсах союзников против нацистской Германии

Дилетант
Корона была ужасная, принцесса была прекрасная Корона была ужасная, принцесса была прекрасная

«Спенсер» Пабло Ларраина: леди Ди тошнит от Виндзоров

Weekend
Не только «Малкольм и Мари»: 10 мелодрам, построенных на диалоге Не только «Малкольм и Мари»: 10 мелодрам, построенных на диалоге

10 драматичных фильмов про отношения, построенные на насыщенных диалогах

Esquire
Меню для свидания: что лучше заказывать и как правильно это есть Меню для свидания: что лучше заказывать и как правильно это есть

Как себя вести на романтической встрече и что лучше заказывать на свидании

Cosmopolitan
Анна Виленская Анна Виленская

Анна Виленская — автор нескучных лекций о музыке

Собака.ru
Как африканцы друг другом торговали: история рабства от древности до наших дней Как африканцы друг другом торговали: история рабства от древности до наших дней

Рабство фактически отменено, но его отголоски все еще приводят к битым витринам

Maxim
Страшные мысли наших детей: можем ли мы помочь? Страшные мысли наших детей: можем ли мы помочь?

Душевное состояние детей и подростков вызывает серьезнейшие опасения

Psychologies
Так плохо, что даже хорошо: пять самых критикуемых моделей BMW Так плохо, что даже хорошо: пять самых критикуемых моделей BMW

Дизайн современных BMW давно стал предметом ожесточенных споров

Playboy
Топ-10 самых дорогих карт с покемонами: готовы выложить 28 млн рублей? Топ-10 самых дорогих карт с покемонами: готовы выложить 28 млн рублей?

Pokémon TCG стала настолько популярной, что карточки теперь стоят немалых денег

Популярная механика
Вячеслав Чепурченко. Правила игры Вячеслав Чепурченко. Правила игры

Легкие солнечные ветродуи у меня очень хорошо получаются

Коллекция. Караван историй
В болезни и здравии: как с годами менялась внешность княгини Монако Шарлен В болезни и здравии: как с годами менялась внешность княгини Монако Шарлен

Как княгиня Монако Шарлен менялась последние 13 лет

Cosmopolitan
Два письма, или Как найти выход из безвыходной ситуации Два письма, или Как найти выход из безвыходной ситуации

Когда твой почти взрослый ребенок почти безнадежно болен, есть два пути

СНОБ
Зеленая энергетика или «энергетический разворот» к солнцу? Зеленая энергетика или «энергетический разворот» к солнцу?

Солнечный свет как возобновляемый источник энергии

Популярная механика
Как не мерзнуть в мороз? Как не мерзнуть в мороз?

Одежда с электроподогревом. Что это такое?

Maxim
Когда лучше стричь волосы? Попробуй учитывать фазы Луны – вот как это работает Когда лучше стричь волосы? Попробуй учитывать фазы Луны – вот как это работает

Попробуй ухаживать за кожей и волосами согласно лунным фазам

Cosmopolitan
Долгое ожидание и роботы-курьеры: каким рынок доставки еды будет в будущем Долгое ожидание и роботы-курьеры: каким рынок доставки еды будет в будущем

Кто и как нам будет доставлять еду в ближайшие годы?

Forbes
Собиратели древних тайн Собиратели древних тайн

Где еще искать древние легенды и обычаи народа, как не на рязанской земле?

Отдых в России
Как сэкономить на приёме платежей? Инструкция для бизнеса Как сэкономить на приёме платежей? Инструкция для бизнеса

Рассказываем, чем сервис СБП выгоден бизнесу и как им воспользоваться

Inc.
Поверила в себя Поверила в себя

Юлия Снигирь рассказала, как персонаж заставил ее пересмотреть отношение к себе

Grazia
Здесь все настоящее! Здесь все настоящее!

Поездка на Алтай – путешествие в мир разных ландшафтов, народов и культур

Отдых в России
О ком она вздыхает? Или как стать любовником, которого невозможно забыть О ком она вздыхает? Или как стать любовником, которого невозможно забыть

Истории четырех девушек, которые рассказывают, как надо и не надо делать

Playboy
К косметологу в 20, 30 и 40 лет: каких процедур требует возраст? К косметологу в 20, 30 и 40 лет: каких процедур требует возраст?

Некоторые процедуры стоит делать как можно раньше, а другие стоит отложить

Cosmopolitan
Открыть в приложении