Как крашнуть Майнкрафт log4shell

Обнаружен критический эксплойт в широко распространенной библиотеке Java, нарушающий большую часть Интернета, поскольку администраторы серверов пытаются его исправить. Уязвимый компонент log4j используется везде как включенная библиотека, поэтому вам нужно будет проверить свои серверы и убедиться, что они обновлены.

Как работает этот эксплойт?

Что касается эксплойтов, уязвимость log4j на сегодняшний день является одной из худших за последние несколько лет, получив редкую 10/10 по шкале CVSS, и будет преследовать весь Интернет в течение многих лет.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Что еще хуже, log4j не является приложением — это библиотека с открытым исходным кодом, используемая многими другими приложениями. Возможно, вы не установили его напрямую; он может быть включен в другие файлы .jar или установлен другими приложениями в качестве зависимости.

По сути, он позволяет злоумышленникам отправлять текст в ваше приложение, и если оно где-то регистрирует его (например, регистрирует строку агента, управляемую пользователем, на веб-сервере), ваш сервер выполнит вредоносный код. Формат текста похож на следующий пример: предельно простая строка, содержащая ссылку на удаленный адрес.

Как крашнуть любой сервер в майнкрафт #shorts #майнкрафт

Уязвимым компонентом в log4j является интерфейс именования и каталогов Java, который позволяет фреймворку журналирования делать удаленные запросы. За исключением того, что он также десериализует файл в этой конечной точке и может загружать файлы .class, содержащие удаленный код. Что плохо.

Я уязвим?

Эксплойт был быстро исправлен в последней версии log4j, 2.16.0, но проблема не в его устранении, а в том, чтобы выяснить, где вам нужно. Поскольку log4j является встроенной зависимостью, поиск конкретной его версии в вашей системе может оказаться нетривиальным. А поскольку Java настолько популярна, ее могут использовать многие сторонние инструменты и компоненты, поэтому вы даже не можете знать если вы используете программное обеспечение Java на своих машинах.

Даже если вы думаете, что не уязвимы, вам, вероятно, все равно нужно дважды проверить. Этот эксплойт затрагивает так много систем, что есть большая вероятность, что вы используете log4j или Java, не осознавая этого.

К счастью, версии JDK выше 6u211, 7u201, 8u191 и 11.0.1 не подвержены влиянию основного вектора атаки (с использованием LDAP), который сейчас наиболее часто используется. Тем не менее, вам все равно нужно исправить его, поскольку его можно легко использовать и с другими векторами атаки. Кроме того, простой запрос к конечной точке может раскрыть данные о машинах в вашей сети, что тоже нехорошо.

Этот эксплойт подчеркивает, почему важно вести Спецификацию программного обеспечения (SBOM), в основном список всего программного обеспечения в ваших системах, откуда оно взято и из чего оно сделано. В будущем эти знания помогут вам быстро устранять подобные атаки.

LOG4SHELL — УЯЗВИМОСТЬ 2022 ГОДА

В настоящее время вы, вероятно, просто беспокоитесь о том, чтобы исправить свою сеть. Для этого вам необходимо просканировать свои системы, чтобы найти версии log4j, используемые вашим программным обеспечением, и составить список всех уязвимых компонентов.

Сканирование вашей системы

Многие люди уже создали сценарии для автоматического сканирования систем на наличие уязвимых установок, например, популярный сценарий, написанный на Python, и сценарий от компании LunaSec, занимающейся безопасностью. Одним из самых простых в использовании является этот простой сценарий bash, который может сканировать ваши пакеты и определять версии log4j, а также может сказать вам, использует ли ваша система вообще Java. В большинстве случаев вы захотите запустить несколько сканирований с разными сценариями, потому что не гарантируется, что какой-либо из них будет на 100% эффективным при выявлении каждой уязвимой системы.

Вы можете скачать его и запустить с помощью нескольких команд. Он должен запускаться от имени root для сканирования всей вашей системы, поэтому, конечно, будьте осторожны, какие скрипты вы запускаете с привилегиями root из Интернета. Это тоже выполнение произвольного кода.

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q chmod + x log4j_checker_beta.sh sudo ./log4j_checker_beta.sh

Результаты этого сценария подчеркивают, что именно делает эту уязвимость log4j такой ужасной — запуск ее на моем личном сервере показал, что я был уязвим для эксплойта через несколько дней после нулевого дня, несмотря на то, что я думал, что у меня не установлена Java на этой машине, потому что я Я не использую собственное программное обеспечение Java.

Elasticsearch работает в фоновом режиме на этой машине, написанной на Java. Мне не нужно было устанавливать Java вручную, чтобы установить Elasticsearch; он включает связанную версию OpenJDK. Он включает log4j в эту установку и уязвим для эксплойта.

Исправление, по крайней мере для Elasticsearch, заключается в обновлении всех пакетов и соблюдении их руководств по смягчению последствий. Скорее всего, так будет с любым программным обеспечением, которое вы используете; вам нужно будет обновить log4j напрямую, обновить программное обеспечение, связанное с ним, или исправить его, используя любые передовые методы защиты, которые используют другие люди.

Если вы не можете исправить jar-файл по какой-либо причине, вы можете использовать этот флаг JVM для смягчения проблемы, который просто сообщает log4j никогда не выполнять поиск при форматировании сообщений. Однако это не рекомендуется, и вам следует попытаться установить log4j 2.16.0 везде, где вы можете, чтобы полностью решить проблему.

Источник: cpab.ru

«Интернет в огне»: критическая уязвимость Log4Shell терроризирует онлайн-сервисы

Критическая уязвимость в Java, в библиотеке log4j, которая используется в тысячах сервисов, начиная от Minecraft и заканчивая Apple Cloud, быстро превращается в серьезную угрозу для организаций по всему миру. Уязвимости подвержены сервера Apple, Valve, Microsoft и других.

«Интернет сейчас в огне», — сказал журналистам Адам Мейерс, старший вице-президент компании Crowdstrike, занимающейся кибербезопасностью. — «Люди изо всех сил стараются исправить это, и в то же время самые разные люди пытаются это использовать». В пятницу Мейерс сказал, что за 12 часов, прошедших с момента обнаружения уязвимости, она была «полностью поставлена на вооружение», и злоумышленники разработали и распространили инструменты для ее использования.

Уязвимость позволяет злоумышленникам удаленно выполнять код на уязвимых серверах, давая им возможность импортировать вредоносное ПО, которое может полностью скомпрометировать любые машины.

Уязвимость обнаружена в log4j, библиотеке логирования Java-программ с открытым исходным кодом. Ее используют тысячи игр и приложений, в том числе облачные сервера и корпоративное ПО. Почти каждая сетевая система безопасности запускает какой-то процесс регистрации, что дает огромные возможности популярным библиотекам, таким как log4j. Затронуты все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1, включая многие службы и приложения, написанные на Java.

Уязвимость, получившая название «Log4Shell», может стать самой серьезной, обнаруженной за последние годы. Ей подвержены крупные компании и даже сайты правительства стран. С её помощью даже новички в области программирования могут получить доступ к внутренним сетям, где они могут похищать ценную информацию, устанавливать вредоносные программы, стирать важные данные и так далее.

Джо Салливан, директор по безопасности Cloudflare:

Мне сложно представить себе компанию, для которой это не риск. Неисчислимые миллионы серверов работают с log4j, полные последствия не будут известны в течение нескольких дней.

Амит Йоран, гендиректор компании Tenable, занимающейся кибербезопасностью, назвал Log4Shell «самой большой и самой критической уязвимостью последнего десятилетия». «и, возможно, самой большой в истории современных компьютеров».

Уязвимость получила 10 баллов из 10 от Apache Software Foundation, которая курирует разработку ПО. По ее словам, любой, у кого есть информация об эксплойте, может получить полный доступ к незащищенному компьютеру, который использует это программное обеспечение.

По словам экспертов, чрезвычайная легкость, с которой уязвимость позволяет злоумышленнику получить доступ к веб-серверу без пароля, — вот что делает уязвимость настолько опасной.

Одной из первых публично об обнаружении уязвимости рассказала группа реагирования на чрезвычайные компьютерные ситуации Новой Зеландии. Тогда же, в четверг, через несколько часов был выпущен патч. Apache об уязвимости, обнаруженной в её ПО, еще 24 ноября сообщила Alibaba. На разработку и выпуск фикса ушло две недели.

Хотя патч сейчас и выпущен, мало кто знает о наличии уязвимости (за исключением злоумышленников), поэтому многие сервера остаются уязвимыми. Так, как сообщает LunaSec, уже обнаружено, что Steam и iCloud от Apple сейчас уязвимы.

А первые очевидные признаки использования уязвимости появились в Minecraft. Игроки могли включать выполнение программ на компьютерах других пользователей, вставляя короткое сообщение в окно чата.

Эксперт по безопасности Маркус Хатчинс говорит в Твиттере:

Миллионы приложений используют Log4j для ведения журналов, и все, что нужно сделать злоумышленнику — это заставить приложение зарегистрировать специальную строку.

Пока что исследователи обнаружили доказательства того, что уязвимость может быть использована на серверах таких компаний, как Apple, Amazon, Twitter и Cloudflare.

Хотите найти работу в IT? Подключайте себе телеграм-бот getmatch. Указываете зарплату и должность, и он выдает вам лучшие вакансии от компаний. Не нужно ни резюме, ни портфолио, настройка занимает меньше 30 секунд.

Источник: habr.com

Обзор + Скачать МАЙНКРАФТ СЕРВЕРАМ КОНЕЦ? / СКРИПТ Log4Shell УНИЧТОЖИТ СЕРВЕРА И ВЗЛОМАЕТ ИГРОКОВ!

Недавняя, невероятно жуткая новость заставила ужаснуться весь майнкрафт. В платформе Java обнаружилась критическая уязвимость из-за которой на серверах началась неразбериха,игроки не могли понять что происходило с серверами. У игроков зависали пк что в конечном итоге приводило к вылету,а после этого у игроков внезапно открылись калькуляторы и на экране появилась жуткая надпись: “Hello From Minecraft RCE exploit :)” ……
❗️ Инструкция как обезопасить себя: ❗️
1. Обновите Java до последней версии
2. Обновите Minecraft до последней версии (если же у вас Tlauncher то зайдите в него и у вас должно высветиться “обновить Tlauncher до версии 2.839,нажимаете “обновить” (если не высветилось то значит что вы его уже обновили). Также после этого выберите версию 1.18.1 (желательно,но можете выбрать другую) и нажмите на кнопку “Обновить клиент”.
3. Переустановите сторонние приложения(OptiFine), а лучше удалите если не уверены в их надежности(моды, чит-клиенты)
4. Не заходите на майнкрафт сервера, они всё ещё очень опасны!
Более подробная инструкция от Mojang:
Подробное видео как обновить Java до последней версии:

———————————————————————————————————————–
❗️ Моя группа в ВК ❗️:
❗️ Мой инстаграм ❗️:
? Музыка: Epidemic Sound

► Production Music courtesy of Epidemic Sound!
? Запись экрана: Bandicam
? Обработка звука: Adobe Audition
? Монтаж видео: Videopad

► ПЛЕЙЛИСТЫ!
– Реальная Мистика ? :
– Pixel Gun 3D ⚔️ :
– Мои Мысли ? :
—————————————————————————————————————————————————————–
А если тебе понравилось видео,то не забудь подписаться на канал,поставить колокольчик,поставить свой королевский лайк и написать комментарий ?

Если произошла ошибка:

Попробуйте запустить файл от администратора
Так же антивирус может блокировать запуск
Напишите комментарий и вам могут помочь

Майнкрафт скачать Плагин Vault для Сервера
Скачать плагин TrapLeave — лив из трапки в кт
Майнкрафт плагин WCSafe Защита спавна от донатеров
Скачать приватный чит Celestial Client для Майнкрафт 1.12.2
Что делать если не запускается сборка сервера? Файл .bat закрывается
Готовый сервер майнкрафт BungeeCord 1.8-1.14 Донат кейсы, Гаджеты, Питомцы
Скачать Готовую сборку BungeeCord сервера Minecraft / Слив DexLand
Другие видео обзоры майнкрафт

Источник: minebuild.ru