Під загрозою опинилися мільйони смартфонів: експерти розповіли про небезпечну вразливість

Мільйонам користувачів смартфонів та інших гаджетів у всьому світі загрожує нова критична вразливість. Йдеться про проблему у бібліотеці реєстрації даних log4j для мови програмування Java.

Про це пише видання TJournal. Зловмисники можуть отримати віддалений контроль над серверами та веб-додатками, а також комп'ютерами та пристроями користувачів, щоб встановити шкідливе ПЗ, у тому числі для майнингу криптовалют та здійснення DDoS-атак.

У більшості випадків спеціальні знання для такої атаки не потрібні: достатньо лише мати загальне уявлення про саму мову та її використання в тих чи інших додатках.

Вперше вразливість, що отримала назву Log4Shell, виявили служби хмарної безпеки компанії Alibaba. Їй надали максимальний рівень загрози – 10 балів. Такий високий рівень пов'язаний з тим, що бібліотека log4j використовується в корпоративному програмному забезпеченні, а також в держустановах.

За допомогою вразливості навіть хакери-початківці зможуть атакувати сервери великих компаній (Apple, Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu та інші) і перехоплювати контроль над ними. Серед потенційних жертв атак можуть бути захищені хмарні сервіси.

Вразливість виправили у версії Java від 11 грудня, через кілька днів після того, як її було виявлено. Це означає, що хакери в усьому світі могли встигнути скористатися Log4Shell.

Представники корпоративного сегменту намагаються виправляти ситуацію з зараженнями, що потенційно трапилися, у тому числі самописними патчами. Наприклад, у канадській провінції Квебек закрили близько 4 тисяч державних сайтів, а в Німеччині оголосили червоний рівень кіберзагрози.

Як повідомляв OBOZREVATEL, криптовалютний проект MonoX Finance став жертвою кібератаки, в результаті якої багато користувачів втратили свої кошти. Суму збитків компанія не вказала, але аналітики оцінили її у $31 млн.