Niedawno odkryto bardzo poważną lukę w Javie (Log4Shell), która umożliwia atakującemu zdalne wykonywanie poleceń na zaatakowanej maszynie. Okazuje się, że Intel, Nvidia i Microsoft są podatni na tego rodzaju ataki, w odróżnieniu od AMD. Wygląda to jak powtórka ze Spectre i Meltdown.
Monitorowana jako CVE-2021-44228 przez Narodowy Instytut Standardów i Technologii (NIST) luka dotyczy biblioteki logowania w Apache, szeroko stosowanym pakiecie serwerów typu open source. Luka zagraża każdemu systemowi, do którego można uzyskać dostęp bezpośrednio z przeglądarki, urządzenia mobilnego lub wywołania API. Chociaż AMD poinformowało, że jego oprogramowanie jest zabezpieczone przed exploitem, Intel wymienił aż dziewięć aplikacji wykorzystujących Javę, które są obecnie podatne na ataki.
Okazuje się, że Intel, Nvidia i Microsoft są podatni na ataki wykorzystujące lukę w Javie (Log4Shell), w odróżnieniu od AMD.
Aplikacje Intela podatne na ataki:
- Intel Audio Development Kit
- Intel Datacenter Manager
- Intel oneAPI sample browser plugin for Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (rozwiązanie łagodzące dostępne na GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool maintained by Intel
- Intel Sensor Solution Firmware Development Kit
Exploit w usłudze Log4J firmy Apache umożliwia hakerowi oszukanie docelowego serwera w celu pobrania i uruchomienia dowolnego (w domyśle złośliwego) kodu, który może znajdować się na serwerze kontrolowanym przez atakującego, omijając wiele warstw oprogramowania zabezpieczającego. Co najważniejsze, exploit nie wymaga fizycznego dostępu do systemu. Można go uruchomić za pośrednictwem dowolnego serwera, który ma dostęp do przeglądarki. Wyjaśnia to, dlaczego luka została sklasyfikowana pod najwyższą możliwą wartością według wytycznych „CVSS 3.0”, czyli 10. Intel pracuje obecnie nad udostępnieniem zaktualizowanych wersji tych aplikacji, które łagodzą tę lukę.
AMD ogłosiło z kolei po wstępnym dochodzeniu, że żaden z ich produktów nie wydaje się dotknięty tym problemem. Biorąc jednak pod uwagę potencjalne zagrożenie, AMD stwierdziło, że „kontynuuje analizę”.
Sytuacja NVIDII jest nieco bardziej złożona: w przypadku korzystania z najnowszych wydań usług i podusług każdej aplikacji, obecnie nie ma żadnej znanej luki, którą można wykorzystać. Jednak menedżerowie serwerów nie zawsze udostępniają najnowsze aktualizacje na swoich komputerach, a firma wymienia cztery różne produkty podatne na „Log4Shell”, jeśli są nieaktualne:
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
Co więcej, Zieloni dystrybuują swoje systemy komputerowe DGX dla przedsiębiorstw z pakietami Ubuntu-Linux, a użytkownicy mogą samodzielnie zainstalować blok funkcjonalny Log4J Apache. Dzięki temu systemy są odporne na ataki zaraz po wyjęciu z pudełka. Jednak w przypadkach, w których zainstalowano usługę Log4J, NVIDIA zachęca użytkowników do zaktualizowania usługi do najnowszej wersji, co blokuje lukę.
Jeśli chodzi o Microsoft, firma wydała aktualizacje dwóch swoich produktów, które są zagrożone. Azure Spring Cloud wykorzystuje pewne elementy Log4J w procesie rozruchu, co sprawia, że jest podatny na exploity, o ile nie zostanie zaktualizowany. Aplikacja Microsoft Azure DevOps również otrzymała update mający na celu zlikwidowanie zagrożenia.
Zobacz także:
- Facebook oferował Fauciemu dane użytkowników do kształtowania obostrzeń i sam proponował cenzurę
- Zobaczcie ogromną farmę kryptowalut składającą się głównie z GeForce'ów RTX 3070
- Korea Płd. wprowadza śledzenie obywateli i kamery z rozpoznawaniem twarzy do walki z COVID
Pokaż / Dodaj komentarze do: Intel, Nvidia, Microsoft podatni na Log4Shell. AMD niezagrożone