Lecsaptak a hackerek az év legdrámaibb sebezhetőségére

Pénteken dermesztő nulladik napi sebezhetőség került napvilágra, amellyel olyan nagyvállalatok szerverein lehet pikkpakk távoli kódfuttatást elérni, mint például az Amazon, az Apple, a Cloudflare, a Google, a LinkedIn, a Valve (Steam,) a Tesla, továbbá a Twitter. A helyzetet masszívan súlyosbítja, hogy nagyon kevéske tudás is elég a sebezhetőség kihasználásához, nem kell komolyan vehető hackernek lenni a szabadon választott, támadó kódok érintett szervereken való lefuttatásához.

A sebezhetőség az Apache által kínált Log4j modulban található, ami egy Java nyelven íródott alkalmazásokhoz szánt, általános célú naplózó keretrendszer. A Log4Shell névre keresztelt sérülékenység kihasználásához csak indítani kell egy lekérést a sebezhető szolgáltatás felé, a támadáshoz használt parancs a böngésző típusát leíró részben kap helyet. A beágyazott utasítás segítségével például letöltethető, majd rendszerszintű hozzáféréssel elindítható egy kártevő a sebezhető szervereken.

A sérülékenység a Log4j 2.0 és 2.14.1 közti verzióit érinti, a fejlesztők ideális esetben a 2.15-ös változatra való átállással szabadulhatnak meg tőle, ám ha ez valamiért nem lehetséges, akkor kerülőutas módszerekkel is kiiktathatják azt.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!