В популярной библиотеке Java обнаружили серьёзную уязвимость: с помощью одной строчки кода можно захватить сервер

В популярной программной библиотеке Log4j обнаружили серьёзную уязвимость. Эта библиотека используется в работе многих Java-программ.

Уязвимость получила идентификатор CVE-2021-44228, – сообщает Информатор.

С помощью этой уязвимости хакеры могут получить контроль над удалённым сервером в любой точке мира, и для этого им нужно лишь ввести одну строчку кода. Эту строчку нужно добавить в логи веб-сервера, после чего станет возможным импортировать любое вредоносное программное обеспечение. Таким образом, до тех пор, пока уязвимость не будет закрыта обновлением, у злоумышленников появляется возможность взломов даже хорошо защищенных облачных сервисов крупных компаний.

Данная уязвимость получила максимальные 10 баллов по десятибалльной шкале угроз от Apache Software Foundation. Компания Tenable, которая занимается кибербезопасностью, назвала уязвимость «возможно, самой большой в истории современных компьютеров». Директор по безопасности Cloudflare заявил, что ему «сложно представить себе компанию, для которой это не риск».

Уязвимость CVE-2021-44228 обнаружили 24 декабря во время тестирования безопасности серверов Minecraft. Обновление Log4j, которое устраняет уязвимость, выпустили только 6 декабря. Хакеры уже пытаются использовать уязвимость, чтобы установить вредоносное ПО на компьютеры пользователей. Захваченные компьютеры уже используют для майнинга криптовалют или для использования при DDoS-атаках. Для того, чтобы полностью устранить уязвимость на серверах, потребуется несколько недель или даже месяцев.

Напомним, библиотека Log4j собирает информацию об ошибках и других событиях, произошедших во время работы приложений, и сохраняет её в логах. Эту библиотеку используют миллионы программ, игр, облачных серверов и корпоративных приложений, в том числе от крупнейших производителей — Amazon, Apple, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam.

Ранее мы сообщали, что в популярном пиратском «активаторе Windows» нашли вирус, крадущий криптовалюту и данные браузеров. 

Также писали о том, что в США хакеры взломали кассовые аппараты и заставили их печатать манифест вместо чеков.

Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите в нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно здесь.