Tato chyba zabezpečení souvisí s běžně používaným programem Log4j.
Pozdě v sobotu vydala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) ministerstva vnitřní bezpečnosti naléhavé prohlášení o nové kybernetické zranitelnosti, která by se mohla dotknout širokého pásma internetu.
„Tato zranitelnost, kterou široce využívá rostoucí skupina aktérů hrozeb, představuje naléhavou výzvu pro obránce sítě vzhledem k jejímu širokému využití,“ uvedla ředitelka CISA Jane Easterlyová v prohlášení.
„Aby bylo jasno, tato zranitelnost je vážným rizikem,“ řekl Easterly.
Tato chyba zabezpečení souvisí s běžně používaným programem Log4j, což je nástroj, který běží na pozadí mnoha běžně používaných softwarových aplikací.
„Je to pravděpodobně jedna z nejrozšířenějších softwarových komponent na dnešním internetu,“ řekl ABC News Tony Turner, viceprezident bezpečnostních řešení společnosti Fortress pro kybernetickou bezpečnost. Turner uvedl, že zranitelnost ovlivňuje vše od herních systémů a spotřebitelských platforem až po kritickou infrastrukturu a ministerstvo obrany.
„Proč je to tak důležité, je triviální zneužít,“ řekl Turner. „Může to udělat každý, jako teenageři a děti, které si s tím hrají.“ [vulnerability] Jako hru.“
Odborníci na kybernetickou bezpečnost ve vládě i mimo ni pracují tento víkend nepřetržitě, aby se pokusili tento problém obejít. „Týmy pro bezpečnost IT po celém světě spalovaly ropu uprostřed noci celý víkend a budou pokračovat a toto není víkendový problém, je to problém za měsíce a měsíce,“ řekl Turner.
Microsoft vydal varování, že softwarový gigant „monitoruje prostředí hrozeb pro útoky a vyvíjí ochranu zákazníků“.
Upozornění od společnosti Microsoft „Naše bezpečnostní týmy aktivně prozkoumaly naše produkty a služby, aby pochopily, kde lze Apache Log4j použít, a podnikly rychlé kroky ke zmírnění jakékoli situace“ Řekl.
V článku na blogu Amazon Web Services se uvádí, že „Tato zranitelnost je závažná a vzhledem k rozšířenému přijetí Apache Log4j je její dopad významný.“
Rob Joyce, který působí jako ředitel kybernetické bezpečnosti v Národní bezpečnostní agentuře, uvedl v prohlášení tweet Chyba zabezpečení Log4j je považována za „významnou hrozbu zneužití kvůli rozsáhlému začlenění do softwarových rámců“.
Další země také varovaly před slabými programy. Německo Řekl Je to velmi vážná hrozba.
Zdroje říkají, že může trvat týdny, než bude zranitelnost lépe pochopena – a jak byla zneužita.
Problém je v tom, že Log4j je široce používán a dotýká se velké části internetu – od mobilních telefonů přes elektronický obchod až po herní platformy až po zařízení připojená k internetu v domácnostech a kancelářích.
„Myslím, že tohle je větší než Solarwinds, je to větší než Colonial [pipeline] nebo kazeta. Je to jen kvůli dosahu právě kvůli zdejší všudypřítomné povaze a snadnému využívání,“ řekl Turner pro ABC News.
„Toto je pravděpodobně jedna z nejdůležitějších slabin všech dob,“ řekl Turner. „Stále se snažíme porozumět konečnému rozsahu toho a myslím, že to budeme dekonstruovat na několik let dopředu.“
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“
