В библиотеке Java обнаружили уязвимость, угрожающую миллионам серверов по всему миру.

В программной библиотеке Log4j, которая используется в работе многих Java-программ, обнаружили критическую уязвимость, которая может дать возможность злоумышленникам получить удаленный контроль над серверами по всему миру. Уязвимость получила идентификатор CVE-2021-44228.

Библиотека Log4j собирает информацию об ошибках и других событиях, произошедших во время работы приложений, и сохраняет ее в логах. Эту библиотеку используют миллионы программ, игр, облачных серверов и корпоративных приложений, в том числе от крупнейших производителей — Amazon, Apple, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam.

Как пишет TechCrunch, для использования уязвимости злоумышленникам не нужно обладать глубокими знаниями в информационной безопасности — достаточно добавить лишь одну строку в логи веб-сервера, после чего станет возможным импортировать любое вредоносное программное обеспечение. Таким образом, до тех пор, пока уязвимость не будет закрыта обновлением, у злоумышленников появляется возможность взломов даже хорошо защищенных облачных сервисов крупных компаний.

Уязвимость получила 10 баллов по десятибалльной шкале угроз от Apache Software Foundation. В компании Tenable, занимающейся кибербезопасностью, уязвимость назвали «возможно, самой большой в истории современных компьютеров». Директор по безопасности Cloudflare заявил, что ему «сложно представить себе компанию, для которой это не риск».

Уязвимость обнаружили во время тестов безопасности серверов Minecraft. Разработчикам стало известно о ней 24 ноября, но обновление Log4j, исправляющее уязвимость, появилось только 6 декабря. Тем временем, взломщики уже начали использовать уязвимость для установки удаленного вредоносного ПО на чужие компьютеры — например, для майнинга криптовалют или для использования при DDoS-атаках. При этом на полное устранение уязвимости на всех серверах потребуется значительное время — речь может идти о неделях или даже о месяцах.