Apple закрыла в облачном хранилище iCloud критическую уязвимость Log4Shell
По информации 9to5Mac, Apple закрыла в облачном хранилище iCloud критическую уязвимость Log4Shell в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.
Уязвимости Log4Shell (CVE-2021–44228) подвержены все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java. С ее помощью злоумышленники могут получить доступ к веб-серверу без пароля.
Примечательно, что Apache оперативно выпустила обновление Log4j 2.15.0 и почти сразу выдала второй за декабрь релиз библиотеки Log4j 2.16.0, в котором закрыта уязвимость Log4Shell.
В настоящее время специалисты ИБ-компания Check Point фиксируют около сотни попыток эксплуатации уязвимости в минуту на различных серверах в сети.
На Github опубликован обновляющийся список IP-адресов, с которых идут попытки эксплуатировать уязвимость Log4Shell. Сейчас там в записях более 2200 IP-адресов.
В списке попадающих под уязвимость Log4Shell платформ и версий ПО есть даже антивирусное ПО от ESET.
По данным OpenNET, организация Apache Software Foundation в сводном отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, указала такие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Вдобавок уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.
13 декабря разработчики ИБ-компании BI.ZONE опубликовали на GitHub сканер для Log4j. Он помогает понять, какие приложения и сервера в IT-инфраструктуре уязвимы.
