Jack Phillips

16. 12. 2021

Nově objevená chyba v běžně používaném softwaru nutí odborníky a firmy urychleně aktualizovat své systémy ve snaze zabránit hackerským útokům a útokům pro výkupné (ransomware).

Zranitelnost známá jako CVE-2021-44228 byla objevena 9. prosince u Log4j, softwaru s otevřeným zdrojovým kódem, který používá velké množství společností pro logování do Java EE, což je platforma používaná pro vývoj a provoz podnikových aplikací a informačních systémů.

Všeobecné rozšíření tohoto software vzbuzuje obavy ze neužitelnosti zjištěné bezpečnostní mezery. Někteří odborníci upozorňují, že mohou být zasaženy i oblíbené webové stránky a aplikace uživatelů.

Firmy Mandiant a Crowdstrike, zabývající se kybernetickou bezpečností, uvedly, že se o prolomení systémů pokoušejí hackerské skupiny. Mandiant agentuře Reuters popsal, že jde o „čínské státní aktéry“, tedy o osoby jednající pod taktovkou vládnoucí Komunistické strany Číny.

„Vzhledem k tomu, že Log4j je již desítky let všudypřítomným řešením pro logování při vývoji v Java Enterprise, má Log4j potenciál stát se zranitelností, která bude v prostředí průmyslových řídicích systémů (ICS) přetrvávat ještě několik let,“ uvádí na svém blogu experti na kybernetickou bezpečnost z firmy Dragos.

Kyberzločinec může chybu zneužít odesláním řetězce škodlivého kódu, který se zaznamená pomocí verze Log4j, což útočníkovi umožní načíst na server libovolný kód v jazyce Java. Tato chyba jim může potenciálně umožnit převzít kontrolu nad serverem.

Znepokojení nad touto zranitelností údajně v minulých dnech vyjádřili také federální úředníci pro kybernetickou bezpečnost.

„Tato zranitelnost je jednou z nejzávažnějších, které jsem za celou svou kariéru zažila, ne-li tou nejzávažnější,“ prohlásila v telefonickém rozhovoru s Epoch Times Jen Easterly, šéfka amerického Úřadu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).

Easterlyová varovala, že „zranitelnost bude široce zneužita sofistikovanými aktéry, a my máme omezený čas na přijetí nezbytných opatření, abychom snížili pravděpodobnost škodlivých incidentů“.

Pověstným kanárkem v uhelném dole bylo, když výzkumníci upozornili na to, že prostřednictvím zranitelnosti mohou být ohroženy servery Minecraftu. Společnost Microsoft minulý týden zveřejnila návod, jak si hráči mohou zaktualizovat verzi Javy používanou ve hře.

„Tento exploit se týká mnoha služeb – včetně Minecraft Java Edition. Tato zranitelnost představuje potenciální riziko ohrožení vašeho počítače,“ uvedl Microsoft.

V dalším důrazném varování napsal v pátek generální ředitel společnosti Cloudflare, Matthew Prince, že jeho firma „dospěla k rozhodnutí, že Log4J je tak špatný, že se pokusíme zavést alespoň nějakou ochranu pro všechny zákazníky Cloudflare ve výchozím nastavení, a to i pro bezplatné zákazníky, kteří nemají náš [podnikový balík]. Nyní pracujeme na tom, jak to udělat bezpečně.“

„Je to konstrukční chyba katastrofálních rozměrů,“ napsal minulý týden na svých webových stránkách Free Wortley, generální ředitel open-source platformy pro zabezpečení dat LunaSec.

Při upřesňování toho, jaké služby mohou být prostřednictvím exploitu napadeny, Wortley uvedl, že byly zjištěny zranitelné „cloudové služby jako Steam, Apple iCloud a aplikace, jako Minecraft“.

„Zranitelný je pravděpodobně každý, kdo používá Apache Struts. Podobné zranitelnosti jsme již dříve viděli zneužité při napadeních, jako bylo zneužití dat společnosti Equifax v roce 2017,“ uvedl Wortley s odkazem na hackerský útok, při kterém byly zveřejněny kreditní údaje milionů lidí.

CISA vydala minulý týden kvůli této zranitelnosti varování, stejně jako australská agentura pro kybernetickou bezpečnost. Nadace Apache Software Foundation hodnotí zranitelnost jako „kritickou“ a v pátek zveřejnila způsoby, jak se s ní vypořádat.

„Internet je teď v plamenech,“ sdělil pro agenturu AP Adam Meyers, viceprezident společnosti Crowdstrike, a dodal: „Lidé se předhánějí v opravách a nejrůznější lidé se zase předhánějí ve zneužívání [chyby].”

Zdroj.

Související témata

Přečtěte si také

„Chemická válka“ zabíjí každým rokem 70 000 Američanů
„Chemická válka“ zabíjí každým rokem 70 000 Američanů

V USA raketově roste počet lidí závislých na fentanylu a podobných drogách. Experti tvrdí, že Čína záměrně podporuje obchod s fentanylem jako součást strategie vůči USA. USA by měly posílit kontrolu a účinněji zasáhnout kartely.

Hurikán Helene v USA má 227 obětí, půl milionu domácností je bez proudu
Hurikán Helene v USA má 227 obětí, půl milionu domácností je bez proudu

Počet obětí hurikánu Helene ve Spojených státech stoupl na 227, další dvě úmrtí dnes ohlásily úřady státu Jižní Karolína. Ve čtvrtek bilance uváděla 200 úmrtí.

Jak si koupit svetr, který skutečně vydrží
Jak si koupit svetr, který skutečně vydrží

Ať už vás zahřeje a zajistí vám pohodlí při vašich venkovních dobrodružstvích, nebo když si vychutnáváte šálek kávy a sledujete, jak venku padá sníh, každý si zaslouží mít svetr, který má rád.

Proč podle sociologa lidé potřebují uzavírat manželství a mít rodinu?
Proč podle sociologa lidé potřebují uzavírat manželství a mít rodinu?

O významu manželství s profesorem sociologie a ředitelem Národního projektu manželství Bradem Wilcoxem.

V pondělí začne předávání vědeckých Nobelových cen, APA má 22 favoritů
V pondělí začne předávání vědeckých Nobelových cen, APA má 22 favoritů

Mezi favority letošních Nobelových cen za fyziologii a lékařství, fyziku, chemii a ekonomii patří vědci, díky nimž lidstvo dosáhlo pokroku v oblastech čisté energie, kardiovaskulárních chorob, nanotechnologií, kvantových počítačů nebo při porozumění ekonomickým dopadům korupce.