Как российские ИТ-компании борются с одной из самых больших уязвимостей в коде Java
Источник: Forbes.
В конце ноября в самом популярном инструменте для программистов, библиотеке Java была обнаружена, возможно, самая большая уязвимость в истории современных компьютеров — Log4Shell. С ее помощью хакеры могут получить доступ практически к любому сервису в мире. Уязвимость заставила «Яндекс», VK и другие российские компании провести внеплановые работы по ее устранению. Но хакеры уже успели получить с помощью Log4Shell доступ к большому количеству данных, полагают эксперты по кибербезопасности.
Культурная особенность
В конце ноября исследователь Alibaba Group Чен Чжаоцзюн обнаружил в библиотеке Apache критическую уязвимость Log4j, которую разработчики по всему миру используют для работы приложений, написанных на языке программирования Java. Поскольку Java — один из самых популярных языков программирования, практически в каждой организации есть продукт, написанный на этом языке, поэтому уязвимость затронула практически все крупные компании — Amazon, Twitter, Cisco, IBM, Apple, Google, Cloudflare, Steam и др. Уязвимость получила название Log4Shell. В международной системе Common Vulnerability Scoring System (CVSS) опасность этой уязвимости уже оценили на 10 баллов из 10.
Поскольку на Java разработчики создают и кроссплатформенное программное обеспечение, работающее на Windows, Linux, MacOS, это расширяет список подверженных уязвимости устройств, говорит эксперт по техническому расследованию инцидентов Solar JSOC CERT компании «Ростелеком-Солар» Аскер Джамирзе.
Это весьма серьезная инфраструктурная уязвимость, подтверждает основатель и генеральный директор компании, предоставляющей услуги по сетевой безопасности Qrator Labs Александр Лямин. «В прошлую пятницу куча сервисов, в том числе наши клиенты, начали ее исправлять. Это глобальная проблема, но в открытых источниках найти сведения о пострадавших невозможно — никто никогда не признается: в США компании боятся, что клиенты подадут на них в суд, а в России есть культурная особенность, согласно которой нельзя выглядеть уязвимым», — отметил Лямин.
С помощью Log4Shell хакеры получают доступ к удаленному управлению компьютерами, серверами и облачными ресурсами; злоумышленники могут использовать их для установки вредоносных программ, рассылки спама или DDoS-атак, объяснил директор по коммуникациям Infosecurity Александр Дворянский.
В профессиональном сообществе уже говорят о том, что уязвимость взяли на вооружение вымогатели, криптомайнеры и даже организованные группы хакеров, рассказал Джамирзе. «За примерами того, как может развиваться ситуация, далеко ходить не надо, ведь мы до сих пор сталкиваемся с успешными атаками с использованием похожей по своей критичности уязвимости EternalBlue, которой уже больше четырех лет», — добавил он.
В первые же часы после того, как стало известно об уязвимости, в сети появилось множество инструментов, позволяющих находить и автоматически атаковать найденную цель, говорит руководитель отдела исследований и разработки анализаторов кода Positive Technologies Владимир Кочетков. По его словам, это привело к огромному количеству успешных атак, о которых, скорее всего, станет известно в ближайшие недели.
Сперва атаки начали проводить те злоумышленники, цель которых состоит в захвате систем и включении их в ботнет (компьютерную сеть), например, для скрытого майнинга или проведения DDoS-атак, а уже после подтянулись киберпреступники, добавил руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьев. Цель киберпреступников — вымогательство у крупных компаний с помощью вирусов-шифровальщиков, ограничивающих доступ к компьютеру, а также промышленный кибершпионаж.
«Сейчас злоумышленникам нужно побольше взломать, а дальше они начнут воровать информацию, майнить криптовалюту, продавать доступ третьим лицам», — добавляет директор центра информационной безопасности «Инфосистемы Джет» Андрей Янкин.
Тяжелый год
По оценкам Check Point Software Technologies, которые приводит «Коммерсант», в России Log4Shell затронула 72% телеком-компаний, 58% производств и 57% предприятий розничной и оптовой торговли. В «Лаборатории Касперского» также зафиксировали более 4500 случаев, когда хакеры пытались использовать уязвимость в российских компаниях, говорит эксперт по кибербезопасности компании Борис Ларин. Log4Shell подвержены компании в большей части интернета, отметил он.
Эксперты Infosecurity также фиксировали попытки эксплуатации уязвимости злоумышленниками, но случаев реального взлома пока не обнаружили, отметил Дворянский. В Group-IB не зафиксировали случаев, когда подобные атаки нанесли бы значительный ущерб, отметил руководитель лаборатории компьютерной криминалистики этой компании Олег Скулкин.
Уязвимость в первую очередь опасна для крупных компаний: они пользуются тысячами приложений от разных поставщиков, например Oracle, Dell, IBM, и не могут контролировать компоненты внутри этих продуктов, говорит директор центра IТ-инфраструктурных решений «Инфосистемы Джет» Илья Воронин.
«Яндекс» быстро среагировал на уязвимость благодаря средствам и инструментам мониторинга службы безопасности и технической инфраструктуре компании, говорит директор по безопасности «Яндекса» Антон Карпов. «В течение нескольких часов мы обнаружили и устранили все уязвимые места. Это никак не повлияло на работу наших сервисов и на безопасность данных пользователей», — сказал Карпов.
Внеплановые работы по устранению уязвимости Log4Shell провела и VK (раньше — Mail.ru Group), отметил пресс-секретарь компании Петр Комаревцев. «Сейчас инфраструктуре компании ничего не угрожает», — заявил он.
«Хакерам проще попасть в продуктовый сервис (например, онлайн-игры) через интернет, поэтому компании первым делом ринулись обновлять то, что связано с внешним миром, — это разумно. Однако у каждой компании существует еще и бэк-офис, в котором сложно быстро устранить эту уязвимость. Однако для злоумышленников проникнуть во внутреннюю сеть компании — непростая задача, поэтому есть надежда, что атаки через бэк-офис можно отсрочить», — говорит Воронин из «Инфосистемы Джет». По его словам, на борьбу с уязвимостью уйдет не так много времени — вопрос в том, сколько уйдет на борьбу с последствиями этой уязвимости. «Нас ждет тяжелый год», — заключает он.
Apache уже выпустила патчи для уязвимости, их установка поможет защитить систему от новых атак, говорит Джамирзе из «Ростелеком-Солар».
Представители «Сбера», ABBYY, Alibaba, Apple и Google не ответили на запросы Forbes.
Как обнаружили уязвимость
Библиотеку Apache Log4j написал разработчик Чеки Гульджу и выложил ее в открытый доступ. Библиотека с открытым исходным кодом — часть Apache Logging Services, проекта некоммерческой организации Apache Software Foundation, который поддерживают программисты-добровольцы.
По данным Bloomberg, первые сообщения об уязвимости Log4shell появились в конце ноября. Тогда разработчики Apache получили сообщение от сотрудника группы облачной безопасности Alibaba Чена Чжаоцзюня, который и сообщил компании об угрозе. Однако еще несколько недель Apache удавалось скрывать уязвимость — разработчики проекта втайне работали над ее устранением. 9 декабря Чжаоцзюнь написал в Twitter и опубликовал образец кода Log4shell, сообщало издание Lawfare. Сейчас сообщение в Twitter удалено.
Согласно сообщению в блоге Cloudflare, хакеры попытались воспользоваться уязвимостью уже через девять минут после публичного объявления о ней. Интернет сейчас в огне, заявил старший вице-президент компании в сфере кибербезопасности Crowdstrike. «Люди изо всех сил пытаются исправить ситуацию, и есть [...] самые разные люди, пытающиеся использовать это», — добавил он.
10 декабря Apache выпустила обновленную версию Log4j. В ней уязвимость была устранена, однако все компании, которые использовали данную библиотеку и еще не обновили программное обеспечение, продолжали оставаться в зоне риска.
Разработчик компьютерной игры Minecraft компания Mojang Studios предупредила игроков, что уязвимость представляет собой потенциальный риск взлома их компьютеров — он стал второй компаний после Alibaba, который обнаружил уязвимость во время тестов безопасности серверов.
Уже 11 декабря об уязвимости написал Microsoft. В компании рассказали, что не испытали проблем с доступом к серверам из-за уязвимости и не знают о других случаях атак, кроме как на Minecraft.
13 декабря Агентство США по кибербезопасности и безопасности инфраструктуры опубликовало руководство по устранению уязвимости. По данным агентства, уязвимость затронула таких вендоров, как Amazon, Atlassian, Broadcom, Cisco, Elastic, FedEx, Siemens, IBM и другие крупные компании. Тогда же разработчики ИБ-компании BI.ZONE опубликовали на GitHub сканер для Log4j. Он помогает понять, какие приложения и серверы в IT-инфраструктуре уязвимы. Об обновлениях начали отчитываться и другие компании, среди них — лидер на рынке дисковых систем хранения NetApp, Cloudflare и др.
