Fjouwer dagen lyn waard de Log4Shell Java-eksploitaasje ûntdutsen, wêrtroch hackers kontrôle kinne nimme oer bleatstelde webservers troch it ferstjoeren en aktivearjen fan in kweade string fan tekst, dy't ynfloed hawwe op techgiganten lykas Microsoft, NVIDIA en Intel. Dizze eksploitaasje leit yn 'e iepen boarne Apache Log4j-bibleteek dy't barrens en flaters yn Java-basearre applikaasjes logt.
Log4J, of Log4Shell eksploitearret oanfallen op Java-basearre systemen op ôfstân, iepenet foar krúsjale gegevenslekken en mear
De kwetsberens is, ek bekend as Log4J, wurdt folge ûnder CVE-2021-44228, jûn troch it Nasjonaal Ynstitút foar Standerts en Technology, of NIST. Dizze eksploitaasje kin tagonklik wurde fia in mobyl apparaat, API, of in browserfinster.
Top tech bedriuwen, lykas Intel, Microsoft, en NVIDIA binne allegear beynfloede troch dizze heul effektive eksploitaasje. Intel hat njoggen applikaasjes dy't Java brûke en kwetsber binne foar de hack. Oanbean is de list mei Intel-applikaasjes dy't beynfloede binne:
- Intel Audio Development Kit
- Intel Datacenter Manager
- oneAPI sample browser plugin foar Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool ûnderhâlden troch Intel
- Intel Sensor Solution Firmware Development Kit
Fanwegen de aard fan NVIDIA en har applikaasjes en tsjinsten konsekwint bywurke mei de lêste ferzjes, is de eksploitaasje folle dreger te spoaren. It bedriuw hâldt der rekken mei dat servermanagers net konsekwint de nijste updates oan har masines oanbiede, sadat NVIDIA fjouwer mooglike produkten listt dy't in heech persintaazje beynfloede kinne hawwe troch Log4J, foaral as de bestjoerders foar de produkten ferâldere binne sûnt frijlitting :
- CUDA Toolkit Visual Profiler en Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
Sûnt NVIDIA's DGX enterprise PC's binne foarladen mei Ubuntu-Linux OS en ek kwetsber foar de eksploitaasje, kommunisearret NVIDIA mei brûkers dy't yn steat binne om Apache's Log4J-funksjonaliteitsblok manuell te ynstallearjen om har systemen fuortendaliks te aktualisearjen.
Microsoft's Azure Spring Cloud en Azure DevOps-applikaasje hawwe beide binne patched sûnt de kwetsberens waard ûntdutsen. Azure Spring Cloud brûkt spesifike eleminten fan 'e Log4Shell dy't lizze yn it bootproses fan it systeem. Troch de aard fan dizze eksploitaasje, as it systeem net bywurke wurdt, sille se kwetsber wurde.
Ynteressant is AMD ûnbeskaat bleaun troch de Log4J-exploitaasje. Nei it earste ûndersyk fan har produktlinen kundige AMD oan dat gjin fan 'e rigels beynfloede is, mar se sille har sykjen trochgean fanwege de hurdens fan' e kwetsberens.
De post AMD glydt troch as Log4Shell eksploitaasje beynfloedet oare toptechgiganten, lykas Intel, Microsoft, en NVIDIA by Jason R. Wilson ferskynde earst op Wccftech.
