В интернете появились новости о критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень опасности 10 из 10 по шкале CVSS). Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Что еще хуже, злоумышленники уже активно используют эту уязвимость в атаках. Поэтому Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, воспользоваться одним из методов, описанных на странице Apache Log4j Security Vulnerabilities.
Уязвимость CVE-2021-44228, также получившая названия Log4Shell и LogJam, относится к классу Remote Code Execution. Если злоумышленникам удастся проэксплуатировать ее на одном из компьютеров, то они смогут исполнять на нем произвольный код. Потенциально это позволит им захватить полный контроль над системой.
Что делает CVE-2021-44228 особенно опасной — это простота эксплуатации: успешную атаку через эту уязвимость может осуществить даже неопытный хакер. По словам исследователей, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, в результате чего им удастся подгрузить в приложение собственный код из-за функции message lookup substitution.
Apache Log4j — это часть проекта Apache Logging Project, библиотека, которая служит для ведения логов. По большому счету, ее применение является одним из самых простых способов ведения журнала ошибок, поэтому большинство Java-разработчиках применяют именно ее.
Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter. Из-за настолько широкой распространенности библиотеки, исследователи ожидают увеличение количества атак на уязвимые серверы в течении следующих нескольких дней.