O defecțiune critică descoperită la software-ul Log4J, utilizat pe scară largă, îi face pe experții în securitate cibernetică să se alarmeze și pe marile companii să se grăbească să remedieze problema.
Vulnerabilitatea, care a fost raportată la sfârșitul săptămânii trecute, se află în software-ul bazat pe Java cunoscut sub numele de „Log4j” pe care organizațiile mari îl folosesc pentru a-și configura aplicațiile – și prezintă riscuri potențiale pentru o mare parte a internetului. Serviciul de cloud computing al Apple, firma de securitate Cloudflare și unul dintre cele mai populare jocuri video din lume, Minecraft, se numără printre numeroasele servicii care rulează Log4j, potrivit cercetătorilor de securitate.
Jen Easterly, șefa Agenției pentru Securitate Cibernetică și Infrastructură (CISA) a Departamentului pentru Securitate Internă ale SUA, l-a numit „unul dintre cele mai grave defecte” văzute în cariera ei. Într-o declarație de sâmbătă, Easterly a spus că „un set tot mai mare” de hackeri încearcă în mod activ să exploateze vulnerabilitatea.
Începând de marți, au avut loc peste 100 de încercări de hacking pe minut, conform datelor din această săptămână de la firma de securitate cibernetică Check Point. „Va dura ani să rezolvi acest lucru, în timp ce atacatorii vor căuta… zilnic metode de exploatare”, a declarat David Kennedy, CEO al firmei de securitate cibernetică TrustedSec.
Log4j este una dintre cele mai populare biblioteci de jurnalizare utilizate online, potrivit experților în securitate cibernetică. Log4j oferă dezvoltatorilor de software o modalitate de a crea o înregistrare a activității care să fie utilizată pentru o varietate de scopuri, cum ar fi depanarea, auditarea și urmărirea datelor. Deoarece este atât open-source, cât și gratuită, biblioteca atinge în esență fiecare parte a internetului.
Companii precum Apple, IBM, Oracle, Cisco, Google și Amazon, toate rulează software-ul. S-ar putea prezenta în aplicații și site-uri web populare, iar sute de milioane de dispozitive din întreaga lume care accesează aceste servicii ar putea fi expuse vulnerabilității.
Atacatorii par să fi avut un avans de mai bine de o săptămână în exploatarea defectului software înainte ca acesta să fie dezvăluit public, potrivit companiei de securitate cibernetică Cloudflare. Acum, cu un număr atât de mare de încercări de hacking care au loc în fiecare zi, unii își fac griji că tot ce poate fi mai rău se va întâmpla. Microsoft a declarat într-o actualizare a unei postări pe blog că hackerii susținuți de stat din China, Iran, Coreea de Nord și Turcia au încercat să exploateze defectul Log4j.
Experții sunt îngrijorați în special de vulnerabilitate, deoarece hackerii pot obține acces ușor la serverul computerului unei companii, oferindu-le intrarea în alte părți ale rețelei. De asemenea, este foarte greu să găsești vulnerabilitatea sau să vezi dacă un sistem a fost deja compromis, potrivit Kennedy. În plus, o a doua vulnerabilitate în sistemul Log4j a fost găsită marți seara. Apache Software Foundation, o organizație nonprofit care a dezvoltat Log4j și alte programe software open source, a lansat o remediere de securitate pentru ca organizațiile să o aplice.
Săptămâna trecută, Minecraft a publicat o postare pe blog în care anunța că a fost descoperită o vulnerabilitate într-o versiune a jocului său și a emis rapid o remediere. Alte companii au luat măsuri similare.
IBM, Oracle, AWS și Cloudflare au emis toate avertismente către clienți, unii care pregătesc actualizări de securitate sau își prezintă planurile pentru posibile patch-uri.
„Acesta este o eroare atât de gravă, dar nu este ca și cum ai putea apăsa un buton pentru a-l corecta ca pe o vulnerabilitate majoră tradițională. Va necesita mult timp și efort”,
a spus Kennedy.
Pentru transparență și pentru a ajuta la reducerea dezinformării, CISA a declarat că va înființa un site web public cu actualizări despre produsele software afectate de vulnerabilitate și cum le-au exploatat hackerii.
Presiunea este în mare parte asupra companiilor pentru a acționa. Deocamdată, oamenii ar trebui să se asigure că actualizează dispozitivele, software-ul și aplicațiile atunci când companiile trimit solicitări în următoarele zile și săptămâni.