Upozornění na zranitelnost Apache Log4j
Minulý týden bezpečnostní experti objevili zranitelnost CVE-2021-44228 (Log4Shell) ve starších verzích knihovny Log4j 2.x pro Javu a práci s logy. Tato chyba umožňuje útočníkům spouštět libovolný kód a potenciálně převzít plnou kontrolu nad systémem na napadeném serveru.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal opatření v PDF souboru v souvislosti se zranitelností Log4Shell . https://www.nukib.cz/cs/infoservis/hrozby/1781-upozorneni-na-zranitelnost-apache-log4j-log4shell/
Nové zranitelnosti označované také jako Log4Shell čelí i velké instituce jako Apple, Amazon, Steam, Twitter a tisíce dalších. Jde o zero-day útok, který zneužívá populární logovací knihovnu Log4j, již využívá velké množství aplikací, webových stránek a služeb. Zranitelnost umožňuje útočníkům přístup k cizímu zařízení, a to klidně tak jednoduše, jako třeba odesláním speciálního textu do chatovacího okna zranitelné aplikace. Následně tak mohou zařízení infikovat malwarem, krást data, či je jakkoli jinak zneužít. V nebezpečí nejsou pouze zařízení přímo připojená k internetu, útočníci se dokáží dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j.
Zdroj: rampelnik78 insmart