Lecsaptak a hackerek az év legdrámaibb sebezhetőségére

Kihasznált ártatlanság - Gyermekpornográfia a társadalom és a jog szemében (18+) laptop porno hacker
Vágólapra másolva!
Százmilliós felhasználói táború szolgáltatások kerültek rekordidő alatt kutyaszorítóba.
Vágólapra másolva!

Pénteken dermesztő nulladik napi sebezhetőség került napvilágra, amellyel olyan nagyvállalatok szerverein lehet pikkpakk távoli kódfuttatást elérni, mint például az Amazon, az Apple, a Cloudflare, a Google, a LinkedIn, a Valve (Steam,) a Tesla, továbbá a Twitter. A helyzetet masszívan súlyosbítja, hogy nagyon kevéske tudás is elég a sebezhetőség kihasználásához, nem kell komolyan vehető hackernek lenni a szabadon választott, támadó kódok érintett szervereken való lefuttatásához.

A kép csak illusztráció Forrás: Shutterstock

A sebezhetőség az Apache által kínált Log4j modulban található, ami egy Java nyelven íródott alkalmazásokhoz szánt, általános célú naplózó keretrendszer. A Log4Shell névre keresztelt sérülékenység kihasználásához csak indítani kell egy lekérést a sebezhető szolgáltatás felé, a támadáshoz használt parancs a böngésző típusát leíró részben kap helyet. A beágyazott utasítás segítségével például letöltethető, majd rendszerszintű hozzáféréssel elindítható egy kártevő a sebezhető szervereken.

A bűnözők máris megkezdték a hiba kihasználását, az első hullámban javarészt kriptovalutát bányászó programokat próbálnak elindítani a szervereken.

A sérülékenység a Log4j 2.0 és 2.14.1 közti verzióit érinti, a fejlesztők ideális esetben a 2.15-ös változatra való átállással szabadulhatnak meg tőle, ám ha ez valamiért nem lehetséges, akkor kerülőutas módszerekkel is kiiktathatják azt.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!

Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!