Несколько дней назад была обнаружена уязвимость Log4Shell, позволяющая злоумышленникам контролировать открытые веб-серверы, отправляя и активируя вредоносную строку текста. Она затронула крупные технологические компании, включая Intel, Microsoft и Nvidia. Уязвимость находится в библиотеке Apache Log4j с открытым исходным кодом, которая регистрирует события и ошибки внутри приложений, написанных на Java.
Уязвимость, также известная как Log4J, получила идентификатор CVE-2021-44228 Национального института стандартов и технологий (NIST). Доступ к уязвимости можно получить через мобильное устройство, API или окно браузера. По словам источника, атака может привести к утечке данных и другим неприятным последствиям.
У Intel есть девять приложений, которые используют Java и уязвимы для взлома:
- Intel Audio Development Kit
- Intel Datacenter Manager
- oneAPI sample browser plugin for Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool maintained by Intel
- Intel Sensor Solution Firmware Development Kit
Из-за того, что приложения и сервисы Nvidia постоянно обновляются, выявить уязвимость намного сложнее. Производитель пересилили четыре продукт, в которых вероятность встретить Log4J высока, особенно если используются устаревшие драйверы:
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
Поскольку корпоративные ПК Nvidia DGX с предварительно установленной ОС Ubuntu также уязвимы, компания обратилась к пользователям, способным вручную установить заплатку, немедленного выполнить обновление своих систем.
С момента обнаружения уязвимости Microsoft Azure Spring Cloud и приложение Azure DevOps были исправлены. Azure Spring Cloud использует определенные элементы Log4Shell в процессе загрузки системы. Из-за характера этой уязвимости система, которая не обновляется, станет уязвимой.
Интересно, что AMD осталась нетронутой Log4J. После первоначального исследования своих продуктовых линеек компания объявила, что ни одна из них не пострадала. Тем не менее, производитель намерен продолжить поиск из-за серьезности уязвимости.