Kritična greška u softveru koji se koristi diljem svijeta je upalila je alarm kod stručnjaka za kibernetičku sigurnost, dok su velike tvrtke u utrci s vremenom kako bi riješili problem, piše CNN.
Greška, odnosno ranjivost koja je prijavljena krajem prošlog tjedna, nalazi se u softveru baziranom na Javi poznatom kao "Log4j" koji velike organizacije koriste za konfiguriranje svojih aplikacija te stoga predstavlja potencijalne rizike za veći dio korisnika interneta.
Među brojnim tvrtkama koje koriste Log4j su i Apple, sigurnosna tvrtka Cloudflare i jedna od najpopularnijih videoigara na svijetu, Minecraft.
Jen Easterly, voditeljica Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) američkog Ministarstva domovinske sigurnosti, nazvala je to "jednim od najozbiljnijih nedostataka" uočenih u njezinoj karijeri.
Easterly je u subotnjoj izjavi rekla da "sve veći broj" hakera aktivno pokušava iskoristiti ranjivost.
Više od 100 napada u minuti
Od utorka se dogodilo više od 100 pokušaja hakiranja u minuti, prema podacima tvrtke za kibernetičku sigurnost Check Point.
"Bit će potrebne godine da se to riješi, dok će napadači na dnevnoj bazi tražiti način da to iskoriste", rekao je David Kennedy, izvršni direktor tvrtke za kibernetičku sigurnost TrustedSec.
"Ovo je tempirana bomba za tvrtke", dodao je.
Hakerski napad
Što je Log4j?
Prema stručnjacima za kibernetičku sigurnost Log4j je jedna od najpopularnijih knjižnica za zapise koje se koriste na mreži. Log4j daje programerima softvera način da izgrade evidenciju aktivnosti koja će se koristiti u razne svrhe, kao što su rješavanje problema, revizija i praćenje podataka.
Budući da je i otvorenog koda i besplatna, knjižnica u biti dotiče svaki dio interneta.
"To je sveprisutno. Čak i ako ste programer koji ne koristi Log4j izravno, možda i dalje pokrećete ranjivi kod", objašnjava Chris Eng, glavni istraživač u tvrtki za kibernetičku sigurnost Veracode.
"Tvrtke kao što su Apple, IBM, Oracle, Cisco, Google i Amazon, sve pokreću taj softver. Mogao bi se pojaviti u popularnim aplikacijama i web stranicama, a stotine milijuna uređaja diljem svijeta koji pristupaju tim uslugama mogli bi biti izloženi ranjivosti", dodaje.
Što rade hakeri?
Čini se da su napadači imali više od tjedan dana prednosti u iskorištavanju softverske greške prije nego što je ona bila javno otkrivena. Sada, s tako velikim brojem pokušaja hakiranja koji se događa svaki dan, neki se brinu da će najgore tek doći.
"Sofisticirani hakeri smislit će način stvarnog naoružanja ranjivosti kako bi dobili najveću dobit", rekao je u utorak Mark Ostrowski iz Check Pointa.
Microsoft je u ažuriranju posta na blogu rekao da su hakeri iz Kine, Irana, Sjeverne Koreje i Turske uz podršku države već pokušali iskoristiti grešku Log4j.
Stručnjaci su posebno zabrinuti zbog ranjivosti jer hakeri mogu lako pristupiti računalnom poslužitelju tvrtke, što im omogućava ulazak u druge dijelove mreže. Također je vrlo teško pronaći ranjivost ili vidjeti je li sustav već ugrožen.
Osim toga, u utorak je pronađena i druga ranjivost u sustavu Log4j. Apache Software Foundation, neprofitna organizacija koja je razvila Log4j i drugi softver otvorenog koda, objavila je sigurnosni popravak za organizacije koje se mogu primijeniti.
Minecraft je prošlog tjedna objavio post na blogu u kojem je objavio da je ranjivost otkrivena u verziji njegove igre i brzo je krenuo popravak. Druge tvrtke poduzele su slične korake. IBM, Oracle, AWS i Cloudflare svi su izdali savjete korisnicima, a neki od njih pokreću sigurnosna ažuriranja.
Kako se zaštiti?
Pritisak je uvelike na tvrtke da djeluju. Za sada bi se ljudi trebali pobrinuti za ažuriranje uređaja, softvera i aplikacija kada tvrtke daju upute u nadolazećim danima i tjednima. Američka vlada izdala je upozorenje pogođenim tvrtkama da tijekom praznika budu na oprezu zbog cyber napada.
Postoji zabrinutost da će sve veći broj zlonamjernih aktera iskoristiti ranjivost na nove načine, dok velike tehnološke tvrtke mogu imati sigurnosne timove koji će se nositi s tim potencijalnim prijetnjama, ali mnoge druge organizacije nemaju.
"Najviše brinu su škole, bolnice, mjesta na kojima postoji samo jedna osoba zadužena za sigurnost sustava, a koja nema vremena ili alata", rekla je Katie Nickels, direktorica obavještajne službe u kibernetičkoj sigurnosti firma Red Canary.