Jack Phillips

16. 12. 2021

Nově objevená chyba v běžně používaném softwaru nutí odborníky a firmy urychleně aktualizovat své systémy ve snaze zabránit hackerským útokům a útokům pro výkupné (ransomware).

Zranitelnost známá jako CVE-2021-44228 byla objevena 9. prosince u Log4j, softwaru s otevřeným zdrojovým kódem, který používá velké množství společností pro logování do Java EE, což je platforma používaná pro vývoj a provoz podnikových aplikací a informačních systémů.

Všeobecné rozšíření tohoto software vzbuzuje obavy ze neužitelnosti zjištěné bezpečnostní mezery. Někteří odborníci upozorňují, že mohou být zasaženy i oblíbené webové stránky a aplikace uživatelů.

Firmy Mandiant a Crowdstrike, zabývající se kybernetickou bezpečností, uvedly, že se o prolomení systémů pokoušejí hackerské skupiny. Mandiant agentuře Reuters popsal, že jde o „čínské státní aktéry“, tedy o osoby jednající pod taktovkou vládnoucí Komunistické strany Číny.

„Vzhledem k tomu, že Log4j je již desítky let všudypřítomným řešením pro logování při vývoji v Java Enterprise, má Log4j potenciál stát se zranitelností, která bude v prostředí průmyslových řídicích systémů (ICS) přetrvávat ještě několik let,“ uvádí na svém blogu experti na kybernetickou bezpečnost z firmy Dragos.

Kyberzločinec může chybu zneužít odesláním řetězce škodlivého kódu, který se zaznamená pomocí verze Log4j, což útočníkovi umožní načíst na server libovolný kód v jazyce Java. Tato chyba jim může potenciálně umožnit převzít kontrolu nad serverem.

Znepokojení nad touto zranitelností údajně v minulých dnech vyjádřili také federální úředníci pro kybernetickou bezpečnost.

„Tato zranitelnost je jednou z nejzávažnějších, které jsem za celou svou kariéru zažila, ne-li tou nejzávažnější,“ prohlásila v telefonickém rozhovoru s Epoch Times Jen Easterly, šéfka amerického Úřadu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).

Easterlyová varovala, že „zranitelnost bude široce zneužita sofistikovanými aktéry, a my máme omezený čas na přijetí nezbytných opatření, abychom snížili pravděpodobnost škodlivých incidentů“.

Pověstným kanárkem v uhelném dole bylo, když výzkumníci upozornili na to, že prostřednictvím zranitelnosti mohou být ohroženy servery Minecraftu. Společnost Microsoft minulý týden zveřejnila návod, jak si hráči mohou zaktualizovat verzi Javy používanou ve hře.

„Tento exploit se týká mnoha služeb – včetně Minecraft Java Edition. Tato zranitelnost představuje potenciální riziko ohrožení vašeho počítače,“ uvedl Microsoft.

V dalším důrazném varování napsal v pátek generální ředitel společnosti Cloudflare, Matthew Prince, že jeho firma „dospěla k rozhodnutí, že Log4J je tak špatný, že se pokusíme zavést alespoň nějakou ochranu pro všechny zákazníky Cloudflare ve výchozím nastavení, a to i pro bezplatné zákazníky, kteří nemají náš [podnikový balík]. Nyní pracujeme na tom, jak to udělat bezpečně.“

„Je to konstrukční chyba katastrofálních rozměrů,“ napsal minulý týden na svých webových stránkách Free Wortley, generální ředitel open-source platformy pro zabezpečení dat LunaSec.

Při upřesňování toho, jaké služby mohou být prostřednictvím exploitu napadeny, Wortley uvedl, že byly zjištěny zranitelné „cloudové služby jako Steam, Apple iCloud a aplikace, jako Minecraft“.

„Zranitelný je pravděpodobně každý, kdo používá Apache Struts. Podobné zranitelnosti jsme již dříve viděli zneužité při napadeních, jako bylo zneužití dat společnosti Equifax v roce 2017,“ uvedl Wortley s odkazem na hackerský útok, při kterém byly zveřejněny kreditní údaje milionů lidí.

CISA vydala minulý týden kvůli této zranitelnosti varování, stejně jako australská agentura pro kybernetickou bezpečnost. Nadace Apache Software Foundation hodnotí zranitelnost jako „kritickou“ a v pátek zveřejnila způsoby, jak se s ní vypořádat.

„Internet je teď v plamenech,“ sdělil pro agenturu AP Adam Meyers, viceprezident společnosti Crowdstrike, a dodal: „Lidé se předhánějí v opravách a nejrůznější lidé se zase předhánějí ve zneužívání [chyby].”

Zdroj.

Související témata

Přečtěte si také

DeepSeek jako bezpečnostní riziko. Vláda dnes omezila jeho používání  

Ode dneška nesmí státní správa využívat jakékoliv produkty čínské společnosti DeepSeek, rozhodla tak vláda při dnešním jednání. Doporučil to Národní úřad pro kybernetickou a informační bezpečnost.

Vláda má seznamy českých firem, které podle Ukrajiny porušují protiruské sankce

Vláda má k dispozici seznamy českých firem, které podle Ukrajiny porušují protiruské sankce a dál dodávají své výrobky nebo materiál do Ruska.

Co řekli zástupci frakcí Europarlamentu k nadcházejícímu hlasování o nedůvěře Leyenové a EK

Jak se staví čeští europoslanci a předsedové frakcí Evropského parlamentu ke čtvrtečnímu hlasování o nedůvěře von der Leyenové a její komisi?

Deset let od výroku Merkelové „Zvládneme to“

Zpětný pohled na rozhodnutí Angely Merkelové z roku 2015 a jeho dopady na migraci, EU, německou politiku i vzestup AfD.

Trump po tvrdých úderech rozhodl, že USA pošlou Ukrajině další zbraně k obraně

Prezident Trump nařídil Pentagonu dodat Ukrajině více zbraní: „Musí se být schopni bránit. Teď čelí velmi silným útokům.“

Čínský prezident Si Ťin-pching se poprvé nezúčastnil summitu BRICS

Podle analytiků může být Siho nepřítomnost důsledkem politických bojů v Pekingu a ekonomického tlaku, nebo také známkou napětí mezi členy BRICS.

Australský řetězec školek zavádí kamery po skandálu se sexuálním zneužíváním dětí

Společnost G8 Education, jeden z největších soukromých provozovatelů zařízení péče o děti v Austrálii, oznámila, že ve všech svých 400 centrech nainstaluje bezpečnostní kamery. Reaguje tak na případ údajného sexuálního zneužívání osmi dětí bývalým zaměstnancem.

Jak trpělivost může zpomalit stárnutí buněk

Naše posedlost rychlostí nám doslova způsobuje stárnutí.

Osudy herců ze sérií Karate Kid a Cobra Kai

Filmové postavy z filmového hitu Karate Kid z roku 1984 zná snad každý, ale jak to je s herci, kteří ztvárnili postavy teenagera Daniela La Russa, ranaře Johnyho Lawrence nebo temného senseje Johna Kreese?