Egy széles körben használt szoftvereszközben található kritikus sebezhetőség - amelyet a Minecraft online játékban gyorsan ki lehetett használni - komoly fenyegetést jelent a szervezetekre világszerte – írja a CNBC.
"Az internet lángokban áll" - mondta Adam Meyers, a Crowdstrike kiberbiztonsági cég vezető alelnöke. "Az emberek igyekeznek javítani" - mondta - "mások pedig igyekeznek kihasználni". A hiba létezésének nyilvánosságra kerülése óta eltelt 12 órában a hiba "fegyverré vált", ami azt jelenti, hogy a rosszindulatú támadók kifejlesztették és terjesztették a hiba kihasználására szolgáló eszközöket.
A hiba az elmúlt évek legsúlyosabb számítógépes sebezhetőségének számíthat. Egy olyan segédprogramban fedezték fel, amely mindenütt jelen van a felhőszerverekben és a vállalati szoftverekben, amelyeket az iparban és a kormányzatban használnak.
Ha a hibát nem javítják ki, a bűnözők, kémek és kezdő programozók számára egyaránt könnyű hozzáférést biztosít a belső hálózatokhoz, ahol értékes adatokat zsákmányolhatnak, rosszindulatú programokat telepíthetnek, fontos információkat törölhetnek.
"Nehéz lenne olyan vállalatot találni, amely nincs veszélyben" - mondta Joe Sullivan, a Cloudflare biztonsági vezetője. Megszámlálhatatlanul sok millió szerverre van telepítve, és a szakértők szerint a következmények csak napok múlva válnak ismertté.
Amit Yoran, a Tenable kiberbiztonsági cég vezérigazgatója "az elmúlt évtized legnagyobb, legkritikusabb sebezhetőségének" nevezte - és valószínűleg a modern számítástechnika történetének legnagyobbjának.
A "Log4Shell" névre keresztelt sebezhetőséget a szoftver fejlesztését felügyelő Apache Software Foundation egy egytől tízig terjedő skálán 10-esre értékelte. Bárki, aki rendelkezik az exploittal, teljes hozzáférést kaphat az olyan j számítógéphez, amely a szoftvert használja.
Szakértők szerint a sebezhetőséget az teszi olyan veszélyessé, hogy a támadó rendkívül könnyen - jelszó nélkül - hozzáférhet egy webszerverhez.
Az új-zélandi számítógépes vészhelyzet-elhárító csoport az elsők között jelentette, hogy a hibát "aktívan kihasználják ", mindössze néhány órával azután, hogy csütörtökön nyilvánosan jelentették, és kiadták a javítást.
A sebezhetőséget, amely a nyílt forráskódú Apache szoftverben található, amelyet weboldalak és más webes szolgáltatások futtatására használnak, november 24-én jelentette az alapítványnak a kínai technológiai óriás, az Alibaba - közölte a szervezet. A javítás kifejlesztése és kiadása két hetet vett igénybe.
A rendszerek foltozása azonban világszerte bonyolult feladat lehet. Míg a legtöbb szervezetnek és felhőszolgáltatónak, például az Amazonnak frissíteni kellene a webszervereit, ugyanez az Apache szoftver gyakran be van ágyazva harmadik féltől származó programokba is, amelyeket gyakran csak a tulajdonosuk tud frissíteni.
Yoran, a Tenable munkatársa szerint a szervezeteknek fel kell tételezniük, hogy veszélyeztetettek, és gyorsan kell cselekedniük.
A hiba kihasználásának első nyilvánvaló jelei a gyerekek körében rendkívül népszerű, a Microsoft tulajdonában lévő Minecraft online játékban jelentek meg. A Microsoft közölte, hogy szoftverfrissítést adott ki a Minecraft-felhasználók számára. "Azok az ügyfelek, akik alkalmazzák a javítást, védve vannak" - közölték.