Luka ta występuje w oprogramowaniu opartym na Javie, znanym jako Log4j, które duże organizacje wykorzystują do konfigurowania swoich aplikacji. Jak alarmuje CNN, stanowi to potencjalne zagrożenie dla większości internetu. Według badaczy bezpieczeństwa, wśród usług, które wykorzystują Log4j, są m.in. chmura obliczeniowa firmy Apple, firma ochroniarska Cloudflare oraz jedna z najpopularniejszych gier wideo na świecie – Minecraft.
Jen Easterly, szef Departamentu Bezpieczeństwa Wewnętrznego Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), nazwał to „jednym z najpoważniejszych błędów”, jakie widział w swojej karierze. Easterly dodał, że mnóstwo hakerów obecnie próbuje wykorzystać lukę. „Miną lata, zanim rozwiążemy ten problem, podczas gdy hakerzy będą próbować codziennie [aby ją wykorzystać]” – skomentował David Kennedy, dyrektor generalny firmy TrustedSec zajmującej się bezpieczeństwem cybernetycznym. „To tykająca bomba zegarowa dla firm” – dodał.
Co to jest Log4j?
Log4j jest jedną z najpopularniejszych bibliotek logowania używanych online. Log4j daje programistom możliwość tworzenia zapisów aktywności, które mogą być wykorzystywane do różnych celów, takich jak rozwiązywanie problemów, audyt i śledzenie danych. Oprogramowanie Log4j działa na licencji open source, jest też darmowy, dlatego też ma zastosowanie w zasadzie w każdej części internetu.
„Jest wszechobecne. Nawet jeśli jesteś programistą, który nie korzysta bezpośrednio z Log4j, możesz nadal uruchamiać podatny [na ataki – przyp. red.] kod, ponieważ jedna z bibliotek open source, której używasz, zależy od Log4j” – tłumaczy powiedział Chris Eng, główny badacz w firmie Veracode.
Firmy takie jak Apple, IBM, Oracle, Cisco, Google czy Amazon – wszystkie wykorzystują to oprogramowanie. Może ono występować w popularnych aplikacjach i stronach internetowych, a setki milionów urządzeń na całym świecie, które uzyskują dostęp do tych usług, mogą być narażone na atak hakerski.
Jakie jest zagrożenie?
Przy ogromnej liczbie prób włamań, które mają miejsce każdego dnia, niektórzy obawiają się, że najgorsze dopiero nadejdzie. „Wyrafinowani, bardziej zaawansowani hakerzy wymyślą sposób na wykorzystanie luki w zabezpieczeniach, aby uzyskać jak największe korzyści” – powiedział Mark Ostrowski, szef działu inżynieryjnego w firmie Check Point.
Microsoft poinformował, że wspierani przez państwo hakerzy z Chin, Iranu, Korei Północnej i Turcji próbowali wykorzystać lukę w Log4j.
Dlaczego ta luka w zabezpieczeniach jest tak niebezpieczna?
Eksperci są szczególnie zaniepokojeni tą luką, ponieważ hakerzy mogą uzyskać łatwy dostęp do serwera komputerowego firmy, co daje im dostęp do innych części sieci. Bardzo trudno jest w ogóle znaleźć lukę lub sprawdzić, czy system został już naruszony. Apache Software Foundation, organizacja non-profit, która stworzyła Log4j i inne oprogramowanie open source, opublikowała poprawkę bezpieczeństwa, którą firmy mogą zastosować, by naprawić jedną z odkrytych istniejących luk.
Minecraft opublikował post informujący o odkryciu luki w wersji swojej gry i szybko wydał poprawkę. Inne firmy podjęły podobne kroki. IBM, Oracle, AWS i Cloudflare wydały komunikaty, a niektóre z nich wprowadziły aktualizacje bezpieczeństwa lub przedstawiły swoje plany dotyczące ewentualnych poprawek.
W celu zapewnienia przejrzystości i ograniczenia dezinformacji, CISA zapowiedziała stworzenie publicznej strony internetowej z aktualizacjami na temat produktów, w których wystąpiła luka i sposobów jej wykorzystania przez hakerów.
Istnieją obawy, że coraz więcej tzw. „złośliwych podmiotów” będzie wykorzystywać luki w zabezpieczeniach na nowe sposoby. Duże firmy technologiczne mogą liczyć na swoje zespoły bezpieczeństwa, które zapewne mogą poradzić sobie z potencjalnymi zagrożeniami, ale wiele innych organizacji nie ma takiej możliwości. Eksperci wskazują, że zagrożone mogą być szpitale czy szkoły, gdzie za bezpieczeństwo odpowiada jeden pracownik – bez czasu, budżetu ani narzędzi, by poradzić sobie z atakiem na sieć.
