PODIGNUTA UZBUNA NA INTERNETU ZBOG KRITIČNE SOFTVERSKA GREŠKE KOJA OMOGUĆAVA HAKERIMA DA UGROZE MILIONE UREĐAJA
Stručnjaci za sajber sigurnost podigli su uzbunu zbog ranije nepoznate kritične greške u često korišćenom softverskom alatu koji bi potencijalno mogao omogućiti hakerima da ugroze milione uređaja povezanih na internet.
Greška, poznata kao „Log4Shell“, opisana je kao „najveća, najkritičnija ranjivost u protekloj deceniji“, što ga stavlja u trku za mesto među najvećim kvarovima u modernoj istoriji računarstva. Istraživači su upozorili da mana pogađa servere koje vode tehnološki divovi poput Microsoft-a, Apple-a, Amazon-a i Twitter-a.
Prva indikacija o eksploataciji viđena je na stranicama koje su hostovale servere za izuzetno popularnu onlajn igru Minecraft u vlasništvu Microsofta. Marcus Hutchins, britanski sigurnosni istraživač poznat po zaustavljanju napada WannaCry zlonamernog softvera, tvitovao je da očigledno neki od korisnika igre već koriste tu grešku za daljinsko pokretanje programa na računarima drugih korisnika „jednostavnim lepljenjem kratke poruke u okvir za ćaskanje. ”
In the case of Minecraft, attackers were able to get remote code execution on Minecraft Servers by simply pasting a a short message into the chat box.
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Ranjivost, koja se nalazi u ‘log4j’, alatu za evidentiranje otvorenog koda koji je razvila Apache Software Foundation, prvi je prijavio kineski tehnološki gigant Alibaba 24. novembra. Fondacija je tada ozbiljnost problema ocenila 10 na skali od jedan do 10. Međutim, nedostatak je javno otkriven tek u četvrtak.
Softver za evidentiranje koriste Amazon Web Services i drugi provajderi servera u cloud-u, kao i industrijske i vladine mreže. Evidentiranje se odnosi na proces u kojem aplikacije drže otvorenu karticu o aktivnostima koje su izvršile, a koje se kasnije mogu pregledati radi provere grešaka. Gotovo svaki mrežni sigurnosni sistem koristi proces evidentiranja, što ukazuje na razmere problema.
Napominjući da su hakeri „potpuno opremljeni oružjem“ za eksploataciju ubrzo nakon što je otkriveno, Adam Meyers, viši potpredsednik obaveštajne službe u firmi za kibernetičku sigurnost Crowdstrike, rekao je za AP da je „internet trenutno u plamenu“ dok su se stručnjaci bore da što brže poprave nedostatak.
Iako je objavljena sigurnosna ispravka za log4j alat, Log4Shell će ostati pretnja tokom vremena koje je potrebno da se osigura ažuriranje svih ranjivih mašina.
