Nově objevená chyba v běžně používaném softwaru nutí odborníky a firmy urychleně aktualizovat své systémy ve snaze zabránit hackerským útokům a útokům pro výkupné (ransomware).
Zranitelnost známá jako CVE-2021-44228 byla objevena 9. prosince u Log4j, softwaru s otevřeným zdrojovým kódem, který používá velké množství společností pro logování do Java EE, což je platforma používaná pro vývoj a provoz podnikových aplikací a informačních systémů.
Všeobecné rozšíření tohoto software vzbuzuje obavy ze neužitelnosti zjištěné bezpečnostní mezery. Někteří odborníci upozorňují, že mohou být zasaženy i oblíbené webové stránky a aplikace uživatelů.
Firmy Mandiant a Crowdstrike, zabývající se kybernetickou bezpečností, uvedly, že se o prolomení systémů pokoušejí hackerské skupiny. Mandiant agentuře Reuters popsal, že jde o „čínské státní aktéry“, tedy o osoby jednající pod taktovkou vládnoucí Komunistické strany Číny.
„Vzhledem k tomu, že Log4j je již desítky let všudypřítomným řešením pro logování při vývoji v Java Enterprise, má Log4j potenciál stát se zranitelností, která bude v prostředí průmyslových řídicích systémů (ICS) přetrvávat ještě několik let,“ uvádí na svém blogu experti na kybernetickou bezpečnost z firmy Dragos.
Kyberzločinec může chybu zneužít odesláním řetězce škodlivého kódu, který se zaznamená pomocí verze Log4j, což útočníkovi umožní načíst na server libovolný kód v jazyce Java. Tato chyba jim může potenciálně umožnit převzít kontrolu nad serverem.
Znepokojení nad touto zranitelností údajně v minulých dnech vyjádřili také federální úředníci pro kybernetickou bezpečnost.
„Tato zranitelnost je jednou z nejzávažnějších, které jsem za celou svou kariéru zažila, ne-li tou nejzávažnější,“ prohlásila v telefonickém rozhovoru s Epoch Times Jen Easterly, šéfka amerického Úřadu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
Easterlyová varovala, že „zranitelnost bude široce zneužita sofistikovanými aktéry, a my máme omezený čas na přijetí nezbytných opatření, abychom snížili pravděpodobnost škodlivých incidentů“.
Pověstným kanárkem v uhelném dole bylo, když výzkumníci upozornili na to, že prostřednictvím zranitelnosti mohou být ohroženy servery Minecraftu. Společnost Microsoft minulý týden zveřejnila návod, jak si hráči mohou zaktualizovat verzi Javy používanou ve hře.
„Tento exploit se týká mnoha služeb – včetně Minecraft Java Edition. Tato zranitelnost představuje potenciální riziko ohrožení vašeho počítače,“ uvedl Microsoft.
V dalším důrazném varování napsal v pátek generální ředitel společnosti Cloudflare, Matthew Prince, že jeho firma „dospěla k rozhodnutí, že Log4J je tak špatný, že se pokusíme zavést alespoň nějakou ochranu pro všechny zákazníky Cloudflare ve výchozím nastavení, a to i pro bezplatné zákazníky, kteří nemají náš [podnikový balík]. Nyní pracujeme na tom, jak to udělat bezpečně.“
„Je to konstrukční chyba katastrofálních rozměrů,“ napsal minulý týden na svých webových stránkách Free Wortley, generální ředitel open-source platformy pro zabezpečení dat LunaSec.
Při upřesňování toho, jaké služby mohou být prostřednictvím exploitu napadeny, Wortley uvedl, že byly zjištěny zranitelné „cloudové služby jako Steam, Apple iCloud a aplikace, jako Minecraft“.
„Zranitelný je pravděpodobně každý, kdo používá Apache Struts. Podobné zranitelnosti jsme již dříve viděli zneužité při napadeních, jako bylo zneužití dat společnosti Equifax v roce 2017,“ uvedl Wortley s odkazem na hackerský útok, při kterém byly zveřejněny kreditní údaje milionů lidí.
CISA vydala minulý týden kvůli této zranitelnosti varování, stejně jako australská agentura pro kybernetickou bezpečnost. Nadace Apache Software Foundation hodnotí zranitelnost jako „kritickou“ a v pátek zveřejnila způsoby, jak se s ní vypořádat.
„Internet je teď v plamenech,“ sdělil pro agenturu AP Adam Meyers, viceprezident společnosti Crowdstrike, a dodal: „Lidé se předhánějí v opravách a nejrůznější lidé se zase předhánějí ve zneužívání [chyby].”