Хакеры могут получить удалённый контроль над приложениями и устройствами: в большинстве случаев специальные знания для такой атаки не нужны.

17 561 просмотров

9 декабря служба облачной безопасности компании Alibaba обнародовала уязвимость «нулевого дня» в библиотеке журналирования log4j для языка программирования Java.

Java — популярный язык программирования и программная платформа. На Java написаны многие веб-приложения, программы для настольных ПК и мобильных устройств.

Apache Log4j — широко используемая библиотека регистрации данных в Java, одна из двух существующих. Она собирает информацию о событиях и ошибках, случившихся во время работы приложений, и сохраняет её в лог-файлах. Например, в веб-приложениях Log4j собирает сведения об устройствах и браузерах пользователей, а в программах для ПК и гаджетах — следит за активностью и подсчитывает время, проведённое людьми в играх.

Библиотека Log4j интегрирована в корпоративное ПО, её код встречается в программах с открытым исходным кодом, а также на серверах государственных учреждений по всему миру.

Log4shell — угрожает Minecraft или УЯЗВИМОСТЬ НУЛЕВОГО ДНЯ

  • Уязвимость получила идентификатор CVE-2021-44228 и максимальный уровень угрозы — 10 баллов из 10 возможных. Потенциально она даёт злоумышленникам удалённый доступ к миллионам устройств в интернете, на которых работает Java.
  • Специалисты узнали о проблеме в ноябре, во время исследования безопасности сервера игры Minecraft. Они перехватили управление сервером, отправив сообщение в игровой чат. Первую кибератаку с использованием новой уязвимости заметили уже 1 декабря.

Чем эта уязвимость опасна для интернета

  • Гипотетически энтузиасты и самоучки (так называемые «скрипт киддиз») при помощи Log4Shell могут взламывать сервера крупных компаний. Профессиональное образование для этого не требуется.
  • PoC-эксплоиты, созданные после объявления об уязвимости, запускаютлюбые программы на удалённых серверах, где установлена Log4j. Хакеру нужно лишь послать запрос на атакуемый сервер, а в запросе указать путь к файлу payload, который позволит удалённо управлять им.
  • Тестирование показало, что эксплоиты делают возможной атаку даже на очень защищённые облачные сервисы, в частности, Apple iCloud, пишет исследовательская компания Lunasec. Достаточно определённым образом изменить название точки доступа и подключиться к ней с айфона, чтобы воздействовать на облачные серверы Apple, уточняет подробности атаки Greenblock.

  • Под угрозой также оказались серверы техногигантов Google, Microsoft, Tesla, Cisco, Cloudflare, VMware, Amazon, Twitter, Steam, Tencent, Baidu и многих других. Волонтёры также ведут список уязвимого ПО: в список вошло антивирусное ПО компании ESET.
  • Кроме того, утилита журналирования подключена к популярным фреймворкам, таким как Elasticsearch, Solr и Apache Struts.
  • Исследователи выяснили, что уязвимы все версии Java, вышедшие до 11 декабря и версии Log4j от 2.0 до 2.14.1. Ситуация осложняется тем, что об уязвимости стало известно до того, как вышло обновление утилиты.

Как Log4Shell используют хакеры

Уязвимость Log4j | Эта Команда в Чате ЛОМАЕТ СЕРВЕРА MINECRAFT

  • Сразу после первых сообщений о Log4Shell компания Apache выпустила обновление, которое закрывает опасную «дыру» в утилите. Кроме того, компания Cybereason опубликовала«вакцину» для старых версий Log4j. Хакеров это не остановило.
  • Особенность Log4Shell — большое количество возможных сценариев атаки: получить доступ к нужным серверам можно даже с помощью метаданных фотографий и любых файлов, а также с помощью текста в файле robots.txt на веб-сайте и по электронной почте.
  • Взломщики используют уязвимость для установки вредоносного ПО на компьютеры жертв, пишет Securitylab. Уже известны случаи удалённой установки ПО Kinsing для майнинга криптовалюты и программ для крупномасштабные DDoS-атак с помощью ботнетов — Mirai и Muhstik.
  • Хакеры пытаются устанавливать на уязвимые системы фреймворк Cobalt Strike, выяснили в Microsoft. Он позволяет тайно контролировать компьютеры жертв даже после исправления уязвимости и впоследствии — превратить их в ботнет.
  • На Github опубликован список IP-адресов, с которых хакеры и энтузиасты проводят сканирование и пытаются эксплуатировать Log4Shell. На момент выхода этой статьи в списке 1882 адреса.
Читайте также:  Команда на лук бога в Майнкрафт

Как защищаются компании и власти

  • Log4Shell заставила IT-сообщество срочно принимать меры. Компании пытаются исправить положение с помощью обновлений ПО, изменения настроек Log4j и самописанных патчей. При этом компании называют сложившуюся ситуацию катастрофической, а уязвимость — «самой крупной и самой критической за последнее десятилетие».
  • Простейший метод защиты от Log4Shell — установка наиболее свежей версии библиотеки Log4j 2.15.0, отмечают в «Лаборатории Касперского». Пока этот текст готовился к публикации, Apache выпустила ещё один корректирующий релиз библиотеки.
  • 13 декабря стало известно, что в канадской провинции Квебек в качестве превентивной меры закрыты около 4000 государственных сайтов. Федеральное ведомство по информационной безопасности ФРГ (BSI) объявило красный уровень угрозы в связи с уязвимостью.

Источник: vc.ru

Log4Shell: узнайте, уязвимы ли вы, и устраните эту серьезную ошибку

Log4Shell это последняя уязвимость, которая напоминает многих администраторов, которые видели, насколько их серверы уязвимы для удаленных атак. Это серьезная брешь в системе безопасности, которую можно легко использовать. Также это может повлиять на большое количество пользователей. Было обнаружено, что это влияет на облачные сервисы, такие как Яблоко iCloud или пар. В этой статье мы объясним, что это такое, как это работает и, конечно же, что делать, чтобы решить эту проблему.

Что такое Log4Shell

Это уязвимость, которая затрагивает популярную библиотеку реестра Java. Лог4дж , разработанная апаш . Он широко используется во всевозможных сервисах и программном обеспечении. Например, в таких играх, как Minecraft, помимо облачных сервисов. Он используется приложениями для хранения записей или журналов во время их работы.

Можно сказать, что эта проблема затрагивает миллионы серверов вокруг света. Все они уязвимы и могут подвергнуться удаленной атаке. Используя уязвимость Log4Shell, злоумышленник может проникнуть внутрь вредоносного ПО и получить полный контроль над этим сервером. По сути, у него была бы полная свобода действий, чтобы делать все, что он хотел.

Читайте также:  Почему ванильный Майнкрафт называется ванильным

Уязвимость зарегистрирована как CVE-2021-44228 и рейтинг CVSS, равный 10. Чтобы воспользоваться им, злоумышленнику просто нужно, чтобы приложение зарегистрировало специальную строку, серию символов. Исследователь компьютерной безопасности Мэтью Принс о своем Twitter profile, сообщает о доказательствах того, что эксплойт был доступен по крайней мере за 9 дней до его публикации, хотя нет никаких доказательств того, что до этого момента он широко использовался.

Однако сейчас есть много злоумышленников, которые используют уязвимость Log4Shell и могут проводить свои атаки. Например, они могут установить майнеры криптовалюты на сервере или превратить затронутые устройства в ботнет.

5 home security mistakes that could.

Please enable JavaScript

Как обнаружить эту уязвимость

По оценкам, Java присутствует примерно на 3 миллиардах устройств по всему миру. Подавляющее большинство программистов используют Log4j, поэтому многие могут быть уязвимы для этой проблемы. Можно ли узнать, уязвима ли система для Log4Shell? Есть несколько способов сделать это, и один из самых простых — знать версию Log4j вы установили. Уязвимые варьируются от 2.0-beta9 до 2.14.1.

Кроме того, на GitHub мы можем найти шаги для выполнения команд и определить, присутствует ли уязвимость, зарегистрированная как CVE-2021-44228, или нет. Этот Сканер на базе Python действует как детектор для Уязвимость Log4Shell.

Можно сказать, что самый простой способ определить, уязвима ли удаленная конечная точка, — это вызвать DNS запрос . Что делает эксплойт, так это то, что гипотетический уязвимый сервер пытается получить удаленный код. Используя адрес бесплатного инструмента регистрации DNS в цепочке эксплойтов, мы можем обнаружить срабатывание уязвимости. Как они объясняют в Лунасек , мы можем использовать CanaryTokens за это.

Comprobar использует Log4Shell

Как исправить это в вашей системе

Если вы знаете, что ваша система уязвима, и хотите ее защитить, есть разные способы. Наиболее рекомендуемый прямо сейчас — обновить версию из Log4j в 2.15.0 , что устраняет проблему. Вы можете скачать его с Официальный представитель в Грузии Веб-сайт Apache. Очень важно всегда иметь самые свежие версии, и это яркий тому пример.

Вы также можете обратиться к Официальный представитель в Грузии Объявление безопасности Log4j, где вы найдете всю информацию о шагах по исправлению уязвимости и установке необходимых патчей.

Однако из-за огромной важности этого недостатка безопасности возникли различные варианты, которые действовали как «мгновенные исправления» и, таким образом, могли исправить или, по крайней мере, уменьшить проблему. Примером может служить скрипт запущен Cybereason , который основан на самой уязвимости, чтобы отключить конфигурацию на удаленном и уязвимом экземпляре Log4Shell.

Кроме того, еще одним временным смягчением последствий до появления патча было установка параметра log4j2.formatMsgNoLookups; в True при запуске виртуальной машины Java.

В конечном итоге уязвимость Log4Shell очень опасна и подвергает риску миллионы устройств по всему миру. Важно как можно скорее исправить проблему, и нет ничего лучше, чем обновиться до последней версии.

Читайте также:  Как пользоваться оком эндера в Майнкрафт

Источник: itigic.com

Обзор + Скачать Уязвимость Log4Shell. Самая Страшная неделя в истории Minecraft [FitMc на русском]

Сегодня я поведаю вам о Самой страшной неделе в Истории Minecraft. Уязвимость Log4j(log4shell) серьезно угрожает безопасности java приложений, а на сервере 2b2t игроки умудрились воспользоваться ей в своих целях
Уязвимость log4j всё ещё гуляет по интернету, и эта уязвимость есть в icloud, spotify, steam

This video is a translation
Оригинал(source):
Hello, FitMc!
Big love from Russia

Что же касается Майнкрафта, как обезопасить себя:
1. Обновите Java до последней версии
2. Обновите Minecraft до последней версии
3. Переустановите сторонние приложения(OptiFine), а лучше удалите если не уверены в их надежности(моды, чит-клиенты)
4. Не заходите на майнкрафт сервера, они могут быть всё ещё опасны
Подробнее:

Additional 2b2t Footage/Information/Renders:
Rebane (Footage/Information) –
Redstoner (Footage/Information) –
0x22 (Information)
leijurv (Information)
xcc2 (Thumbnail Render)

2b2t – один из самых древних серверов в Minecraft. За десятилетнюю историю на этом сервере произошло несколько масштабных войн, три бэкдора и несколько крупных скандалов. Комьюнити здесь настолько токсичное, злое и абсурдное, что гриферство и читы здесь это часть нормальной жизни. Если ты новичок – ты умрешь сразу. Если ты про – ты умрешь чуть позже.

Здесь нет правил и морали, а доброта некоторых игроков поражает до глубины души. Здесь, чтобы поиграть в обычный майнкрафт, тебе нужно выбраться за 100.000 блоков, а спавн здесь – самое опасное место в мире. За 10 лет спавн кардинально преображался сотни раз и перестал быть похожим на что-то логичное.

Сервер 2b2t является старейшим анархическим сервером в minecraft. На нём ни разу не было вайпа, хотя серверу уже почти 10 лет. Попадая на этот сервер, вы буквально оказывались в совершенно другой игре.

Но, совсем недавно, история этого сервера судя по всему подошла к концу

Самый жуткий чит убил 2b2t

#2b2t #fitmcперевод #FitMcнарусском #сервер #анархия #истории #спавн #майнкрафт #эксплоит #2b2tчиты #спавн2b2t #2b2tвыживание #2б2тсервер #2б2т #nocom #2b2tэксплоит #2б2тlog4j #minecraftlog4j #уязвимостьlog4j #уязвимостьjava

Если произошла ошибка:

  • Попробуйте запустить файл от администратора
  • Так же антивирус может блокировать запуск
  • Напишите комментарий и вам могут помочь
  • Майнкрафт скачать Плагин Vault для Сервера
  • Скачать плагин TrapLeave — лив из трапки в кт
  • Майнкрафт плагин WCSafe Защита спавна от донатеров
  • Скачать приватный чит Celestial Client для Майнкрафт 1.12.2
  • Что делать если не запускается сборка сервера? Файл .bat закрывается
  • Готовый сервер майнкрафт BungeeCord 1.8-1.14 Донат кейсы, Гаджеты, Питомцы
  • Скачать Готовую сборку BungeeCord сервера Minecraft / Слив DexLand
  • Другие видео обзоры майнкрафт

Источник: minebuild.ru