Исправление программного обеспечения для « самой большой уязвимости за десятилетие » содержит эксплойты

Патч, устранивший критическую уязвимость в популярном программном обеспечении, которое некоторые называют худшим за десятилетие, предоставил злоумышленникам как минимум два новых способа атаковать серверы.

Обнаружение ранее неизвестного эксплойта в Log4J, инструменте с открытым исходным кодом, разработанном Apache Software Foundation, на прошлой неделе привлекло внимание всего мира. Уязвимость позволяла заставить серверы, использующие утилиту ведения журнала, выполнять любой код.

На прошлой неделе лазейка была закрыта патчем, но он привел к появлению новых уязвимостей Ars Technica и ZDNet.

Разработчики подтвердили что исправление было «неполным в некоторых нестандартных конфигурациях» и давало злоумышленникам возможность запускать атаки типа «отказ в обслуживании», которые делали сервис недоступным. Отключение определенных функций снизит риск.

Другая проблема была от фирмы Praetorian, занимающейся кибербезопасностью, которая в среду заявила, что патч «все еще может допускать кражу конфиденциальных данных при определенных обстоятельствах».

К счастью, ранее на этой неделе был выпущен новый патч для этого инструмента. Однако компаниям требуется время, чтобы интегрировать обновление в свои продукты.

Первоначальная уязвимость нулевого дня активно использовалась злоумышленниками. По оценке Financial Times, с пятницы было совершено более 1,2 миллиона атак с использованием уязвимости Log4J.

Утилита написана на Java, популярном языке программирования, используемом во многих современных продуктах, что объясняет, почему компания по обеспечению безопасности Tenable назвала ее «самой большой и самой критической уязвимостью последнего десятилетия».