Король мёртв, да здравствует король!
Спецы из SysDig пророчат явление нового Log4Shell, берегите свои джава-поделки! Уязвимость с рабочим названием Spring4Shell может скрываться в каком угодно приложении, использующем фреймворк Spring Cloud.
Как и нашумевший Log4Shell, абьюзится она элементарнейшим образом: одна вредоносная строчка, и готово. Так что новый всадник джава-апокалипсиса также рискует пронестись неудержимым багожеребцом по всему многострадальному жаба-миру. Остаётся лишь поскорее накатывать патчи и шерстить свои устройства на предмет пропущенного эксплойта уязвимости.
По итогам первых выходных апреля можно отметить бурный всплеск атак на эту уязвимость: всего за пару дней их было более сорока тысяч, и атаки на Spring4Shell добираются уже до каждой шестой уязвимой организации.