Log4Shell — самая большая уязвимость в истории современных компьютеров

ForbesHi-Tech

Как российские IT-компании борются с одной из самых больших уязвимостей в коде Java

Владислав Скобелев, Анастасия Скрынникова

Фото Getty Images

В конце ноября в самом популярном инструменте для программистов, библиотеке Java была обнаружена, возможно, самая большая уязвимость в истории современных компьютеров — Log4Shell. С ее помощью хакеры могут получить доступ практически к любому сервису в мире. Уязвимость заставила «Яндекс», VK и другие российские компании провести внеплановые работы по ее устранению. Но хакеры уже успели получить с помощью Log4Shell доступ к большому количеству данных, полагают эксперты по кибербезопасности.

Культурная особенность

В конце ноября исследователь Alibaba Group Чен Чжаоцзюн обнаружил в библиотеке Apache критическую уязвимость Log4j, которую разработчики по всему миру используют для работы приложений, написанных на языке программирования Java. Поскольку Java — один из самых популярных языков программирования, практически в каждой организации есть продукт, написанный на этом языке, поэтому уязвимость затронула практически все крупные компании — Amazon, Twitter, Cisco, IBM, Apple, Google, Cloudflare, Steam и др. Уязвимость получила название Log4Shell. В международной системе Common Vulnerability Scoring System (CVSS) опасность этой уязвимости уже оценили на 10 баллов из 10.

Поскольку на Java разработчики создают и кроссплатформенное программное обеспечение, работающее на Windows, Linux, MacOS, это расширяет список подверженных уязвимости устройств, говорит эксперт по техническому расследованию инцидентов Solar JSOC CERT компании «Ростелеком-Солар» Аскар Джамирзе.

Это весьма серьезная инфраструктурная уязвимость, подтверждает основатель и генеральный директор компании, предоставляющей услуги по сетевой безопасности Qrator Labs Александр Лямин. «В прошлую пятницу куча сервисов, в том числе наши клиенты, начали ее исправлять. Это глобальная проблема, но в открытых источниках найти сведения о пострадавших невозможно — никто никогда не признается: в США компании боятся, что клиенты подадут на них в суд, а в России есть культурная особенность, согласно которой нельзя выглядеть уязвимым», — отметил Лямин.

С помощью Log4Shell хакеры получают доступ к удаленному управлению компьютерами, серверами и облачными ресурсами; злоумышленники могут использовать их для установки вредоносных программ, рассылки спама или DDoS-атак, объяснил директор по коммуникациям Infosecurity Александр Дворянский.

В профессиональном сообществе уже говорят о том, что уязвимость взяли на вооружение вымогатели, криптомайнеры и даже организованные группы хакеров, рассказал Джамирзе. «За примерами того, как может развиваться ситуация, далеко ходить не надо, ведь мы до сих пор сталкиваемся с успешными атаками с использованием похожей по своей критичности уязвимости EternalBlue, которой уже больше четырех лет», — добавил он.

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Что это за зверь — тестостерон: 10 фактов о гормоне мужественности Что это за зверь — тестостерон: 10 фактов о гормоне мужественности

Как определить пониженный тестостерон, и на что этот гормон влияет

Playboy
Что наука говорит о балансе работы и личной жизни Что наука говорит о балансе работы и личной жизни

Как правильно расставлять приоритеты между работой и личной жизнью?

Популярная механика
Используй ложку и телефон: 20 способов доставить себе удовольствие Используй ложку и телефон: 20 способов доставить себе удовольствие

Двадцать разных способов мастурбации на любой вкус и цвет

Cosmopolitan
Война, насилие, абьюз: как травмы влияют на психику и почему важно их проработать Война, насилие, абьюз: как травмы влияют на психику и почему важно их проработать

Отрывок из книги «Травма и исцеление» психиатра и феминистки Джудит Герман

Forbes
Быстрее, выше, хитрее Быстрее, выше, хитрее

В чем еще, помимо силы и ловкости, соревнуются участники Олимпиад

Forbes
На все четыре стороны: как утекают ваши персональные данные На все четыре стороны: как утекают ваши персональные данные

Для чего вы указываете дату рождения и электронный адрес на сайтах?

Популярная механика
Сила воли: что мешает нам добиваться цели Сила воли: что мешает нам добиваться цели

Проблема отсутствия силы воли – в образе жизни, который ее ослабляет

Psychologies
2400 лошадей под капотом: анонсирован проект шестиколесного, невероятно мощного электрокара от Hennessey Performance 2400 лошадей под капотом: анонсирован проект шестиколесного, невероятно мощного электрокара от Hennessey Performance

Джон Хеннесси задумал создать настоящего монстра из семейства электромобилей

Популярная механика
Gram против доллара Gram против доллара

Американская Комиссия по ценным бумагам и биржам закрыла проект Павла Дурова TON

Forbes
«Мне нужно позвонить маме в Остин» — знакомим вас с актером, сыгравшим Тома Форда в «Доме Гуччи» «Мне нужно позвонить маме в Остин» — знакомим вас с актером, сыгравшим Тома Форда в «Доме Гуччи»

Актер Рив Карни — как получил роль в «Доме Гуччи» и об актерском составе фильма

Esquire
Ученые проверили воду в бутылках и в 93% обнаружили частицы пластика! И ты это пьешь! Ученые проверили воду в бутылках и в 93% обнаружили частицы пластика! И ты это пьешь!

Новейшее пугающее исследование

Maxim
Объятия, унижения, игнор: как вели себя звезды, увидевшись впервые после развода Объятия, унижения, игнор: как вели себя звезды, увидевшись впервые после развода

Какая она — звездная встреча после развода?

Cosmopolitan
Схватки в такси, прыжок в сугроб и Схватки в такси, прыжок в сугроб и

В Новый год каждый старается порадовать близких людей чем-то особенным

Playboy
Свободный человек: как Дмитрий Зимин изменял мир для себя и других Свободный человек: как Дмитрий Зимин изменял мир для себя и других

Главным сюжетом жизни Дмитрия Зимина было постоянное преодоление

Forbes
УАЗ «Патриот». Каково это, жить с автоматом УАЗ «Патриот». Каково это, жить с автоматом

Поставить на «Патриот» автоматическую трансмиссию просили многие

4x4 Club
Что такое NFT: объясняем простыми словами Что такое NFT: объясняем простыми словами

Что такое NFT, как их создать, и как зарабатывать на NFT?

CHIP
Священник-айтишник проповедует в Instagram и открывает ИТ-класс в Гродно Священник-айтишник проповедует в Instagram и открывает ИТ-класс в Гродно

Что будет, если человек уйдёт из бизнеса в церковь и сохранит желание создавать?

VC.RU
Неореализм Неореализм

Киану Ривз, человек в Голливуде, который нравится абсолютно всем

Esquire
Как сохранить эмоциональное здоровье при любых обстоятельствах Как сохранить эмоциональное здоровье при любых обстоятельствах

Как жить, когда вокруг неспокойно?

Psychologies
По напиткам, которые мужчина заказывает в баре, можно узнать о нем всю подноготную! По напиткам, которые мужчина заказывает в баре, можно узнать о нем всю подноготную!

Скажи мне, что ты пьешь, и я скажу, кто ты!

Maxim
Спорный руководитель, защитник от политиков и сторонник децентрализации: кем был Джек Дорси для Twitter Спорный руководитель, защитник от политиков и сторонник децентрализации: кем был Джек Дорси для Twitter

Что Джек Дорси сделал для социальной сети Twitter

VC.RU
Чаты, боты, персональные данные: как Райффайзенбанк общается с клиентами Чаты, боты, персональные данные: как Райффайзенбанк общается с клиентами

Райффайзенбанк: какую информацию собирают боты, как они общаются с клиентами?

Forbes
Вспомнить все Вспомнить все

В 2021-м светская жизнь стала динамичнее, что не может не радовать

Grazia
Девятая планета: существует ли она на самом деле? Девятая планета: существует ли она на самом деле?

Зачем и как люди ищут девятую планету Солнечной системы?

Популярная механика
Цветная капуста – настоящий суперфуд: вот 8 фактов, которые это доказывают Цветная капуста – настоящий суперфуд: вот 8 фактов, которые это доказывают

Суперфуды – это не только очень дорогие экзотические продукты

Cosmopolitan
Газ монооксида иттрия сизифово охладили до одного микрокельвина Газ монооксида иттрия сизифово охладили до одного микрокельвина

Физики охладили монооксид иттрия до одного микрокельвина

N+1
Развод без девичьей фамилии: как Петр I избавлялся от своих жен Развод без девичьей фамилии: как Петр I избавлялся от своих жен

О крутом нраве Петра I ходили легенды, и все жены государя познали его гнев

Cosmopolitan
Археологи нашли в Турции разрушенное серией цунами древнее поселение Археологи нашли в Турции разрушенное серией цунами древнее поселение

Минойского извержение разрушило поселение Чешме-Багларараси в Западной Анатолии

N+1
Вещи на века Вещи на века

«Дедушкин» пиджак и стоптанные ботинки – апофеоз аристократизма!

Playboy
Телескопы с жидким зеркалом: как это работает Телескопы с жидким зеркалом: как это работает

Есть ли у «жидких ртутных телескопов» будущее?

Популярная механика
Открыть в приложении