slabé místo v Apache open source protokolovací knihovna Log4j poslal systémové administrátory a bezpečnostní profesionály do zašifrování během víkendu. Chyba známá jako Log4Shell vystavuje některé z nejpopulárnějších světových aplikací a služeb útoku a výhled se nezlepšil od té doby, co se zranitelnost objevila ve čtvrtek. Pokud něco, je nyní bolestně jasné, že Log4Shell bude i nadále způsobovat zmatek online v nadcházejících letech.
Podle výzkumníků od začátku měsíce hackeři tuto chybu využívají Cisco A Odlesk mraků. Útoky však dramaticky eskalovaly poté, co byl Apache ve čtvrtek odhalen. Podle nedávné zprávy útočníci zatím tuto zranitelnost zneužívali k instalaci šifrovacích nástrojů na zranitelné systémy, krádežím systémových přihlašovacích údajů, pronikání hlouběji do kompromitovaných sítí a krádežím dat. od společnosti Microsoft.
Rozsah efektů je velmi široký vzhledem k povaze samotné zranitelnosti. Vývojáři používají protokolovací rámce ke sledování toho, co se děje v konkrétní aplikaci. K zneužití Log4Shell útočníkovi stačí vytvořit systémový protokol sérií strategicky navrženého kódu. Odtud mohou nahrát libovolný kód na cílový server a nainstalovat malware nebo spustit jiné útoky. Hackeři mohou úryvek prezentovat i zdánlivě vlídnými způsoby, jako je odeslání řetězce v e-mailu nebo jeho nastavení jako uživatelské jméno účtu.
Velké technologické hráče, včetně Webové služby AmazonA MicrosoftA CiscoA Google Cloud, A IBM Všichni zjistili, že alespoň některé jejich služby byly slabé a spěchali s opravami a radili klientům, jak nejlépe postupovat. Navzdory tomu je přesný rozsah expozice stále zřejmý. Méně náročné organizace nebo menší vývojáři, kterým mohou chybět zdroje a povědomí, budou hrozbě Log4Shell čelit pomaleji.
„Je téměř jisté, že lidé budou léta objevovat dlouhý konec nového zranitelného softwaru, když budou zvažovat nová místa pro nastavení řetězců zneužití,“ říká nezávislý bezpečnostní výzkumník Chris Frohoff. „To bude pravděpodobně patrné při hodnoceních a penetračních testech vyhrazených podnikových aplikací po dlouhou dobu.“
Jane Easterlyová, ředitelka americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury, uvedla v prohlášení prohlášení v. Sobota. Dodala, že závada byla „jedním z nejzávažnějších, jaké jsem za celou svou kariéru viděla, ne-li nejzávažnější“, v pondělním hovoru s operátory kritické infrastruktury, jak bylo poprvé oznámeno. od společnosti CyberScoop. Ve stejné výzvě úředník CISA odhadl, že byly zasaženy stovky milionů zařízení.
Nejtěžší je sledovat všechny ty. Mnoho organizací nemá jasnou evidenci každého softwaru, který používají, a softwarových komponent v každém z těchto systémů. Britské národní centrum pro kybernetickou bezpečnost potvrzeno V pondělí potřebovaly společnosti kromě nápravy obvyklých podezřelých „objevit neznámé případy Log4j“. Open source software může být ze své podstaty integrován kamkoli si vývojáři přejí, což znamená, že když se objeví velká bezpečnostní zranitelnost, odhalený kód může číhat na každém rohu. Ještě před Log4Shell zastánci zabezpečení dodavatelského řetězce softwaru stále více prosazovali „softwarové kusovníky“ neboli SBOM, aby usnadnili proces hodnocení a udrželi krok s bezpečnostními zárukami.
„Obhájce Twitteru. Zombie fanatik. Hudební fanoušek. Milovník cestování. Webový expert. Pivní guru. Kávový fanatik.“