Η ευπάθεια αυτή, η οποία αναφέρθηκε στα τέλη της περασμένης εβδομάδας, αφορά λογισμικό που βασίζεται σε Java, γνωστό ως «Log4j», το οποίο χρησιμοποιούν μεγάλοι οργανισμοί για τη διαμόρφωση των εφαρμογών τους - και εγκυμονεί δυνητικούς κινδύνους για μεγάλο μέρος του διαδικτύου. Οι ειδικοί ανησυχούν ιδιαίτερα για το ελάττωμα αυτό, επειδή οι χάκερ μπορούν να αποκτήσουν εύκολη πρόσβαση στον διακομιστή υπολογιστή μιας εταιρείας, δίνοντάς τους έτσι πρόσβαση και σε άλλα τμήματα ενός δικτύου. Είναι επίσης πολύ δύσκολο να βρεθεί η ευπάθεια ή να διαπιστωθεί αν ένα σύστημα έχει ήδη παραβιαστεί. Επιπλέον, μια δεύτερη ευπάθεια στο σύστημα Log4j εντοπίστηκε αργά την Τρίτη.
Το Log4j παρέχει στους προγραμματιστές λογισμικού έναν τρόπο να δημιουργούν ένα αρχείο δραστηριοτήτων που θα χρησιμοποιείται για διάφορους σκοπούς, όπως η αντιμετώπιση προβλημάτων, ο έλεγχος και η παρακολούθηση δεδομένων. Επειδή είναι ανοικτού κώδικα και δωρεάν, η βιβλιοθήκη ουσιαστικά αγγίζει κάθε μέρος του διαδικτύου.«Ακόμα και αν είστε προγραμματιστής που δεν χρησιμοποιεί άμεσα το Log4j, μπορεί να εκτελείτε τον ευάλωτο κώδικα επειδή μία από τις βιβλιοθήκες ανοιχτού κώδικα που χρησιμοποιείτε εξαρτάται από αυτό. Αυτή είναι η φύση του λογισμικού: διαχέεται προς τα κάτω» δήλωσε στο CNN Business ο Chris Eng, επικεφαλής έρευνας στην εταιρεία κυβερνοασφάλειας Veracode. Εταιρείες όπως η Apple, η IBM, η Oracle, η Cisco, η Google και η Amazon, η Cloudflare χρησιμοποιούν το λογισμικό.
Η Jen Easterly, επικεφαλής της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ, έκανε λόγο για «ένα από τα σοβαρότερα κενά ασφαλείας» που έχει δει στην καριέρα της. Σε δήλωσή της το Σάββατο, η Easterly δήλωσε ότι «όλο και περισσότεροι» χάκερ προσπαθούν ενεργά να εκμεταλλευτούν την ευπάθεια. Από την Τρίτη, σημειωνόταν περισσότερες από 100 απόπειρες hacking ανά λεπτό, σύμφωνα με στοιχεία αυτής της εβδομάδας από την εταιρεία κυβερνοασφάλειας Check Point. «Θα χρειαστούν χρόνια για να αντιμετωπιστεί, ενώ οι επιτιθέμενοι θα ψάχνουν... σε καθημερινή βάση [για να το εκμεταλλευτούν]», δήλωσε ο David Kennedy, διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας TrustedSec. «Πρόκειται για ωρολογιακή βόμβα για τις εταιρείες».
Οι χακερς φαίνεται γνώριζαν για πάνω από μια εβδομάδα το ελάττωμα του λογισμικού πριν αυτό γνωστοποιηθεί, σύμφωνα με την Cloudflare. Τώρα, με τόσο μεγάλο αριθμό προσπαθειών παραβίασης κάθε μέρα, ορισμένοι ανησυχούν ότι τα χειρότερα δεν έχουν έρθει ακόμα. «Οι εξελιγμένοι, πιο υψηλόβαθμοι φορείς απειλών θα βρουν έναν τρόπο να αξιοποιήσουν πραγματικά την ευπάθεια για να αποκομίσουν το μεγαλύτερο κέρδος», δήλωσε την Τρίτη ο Mark Ostrowski, επικεφαλής του τμήματος μηχανικής της Check Point.
Το Apache Software Foundation, ένα μη κερδοσκοπικό ίδρυμα που ανέπτυξε το Log4j και άλλο λογισμικό ανοικτού κώδικα, κυκλοφόρησε μια διόρθωση ασφαλείας για να κλείσουν τα κενά αςσφαλείας. Την περασμένη εβδομάδα, το Minecraft δημοσίευσε μια ανάρτηση στο blog του ανακοινώνοντας ότι ανακαλύφθηκε μια ευπάθεια σε μια έκδοση του παιχνιδιού του - και εξέδωσε γρήγορα μια διόρθωση. Άλλες εταιρείες έχουν λάβει παρόμοια μέτρα. Η IBM, η Oracle, η AWS και η Cloudflare εξέδωσαν συμβουλές προς τους πελάτες τους, με ορισμένες να προωθούν ενημερώσεις ασφαλείας ή να περιγράφουν τα σχέδιά τους για πιθανές επιδιορθώσεις.
https://www.ethnos.gr/technology/article/187494/log4jtokenoasfaleiaspoythamporoysenaephreaseiolotointernet
Το Log4j παρέχει στους προγραμματιστές λογισμικού έναν τρόπο να δημιουργούν ένα αρχείο δραστηριοτήτων που θα χρησιμοποιείται για διάφορους σκοπούς, όπως η αντιμετώπιση προβλημάτων, ο έλεγχος και η παρακολούθηση δεδομένων. Επειδή είναι ανοικτού κώδικα και δωρεάν, η βιβλιοθήκη ουσιαστικά αγγίζει κάθε μέρος του διαδικτύου.«Ακόμα και αν είστε προγραμματιστής που δεν χρησιμοποιεί άμεσα το Log4j, μπορεί να εκτελείτε τον ευάλωτο κώδικα επειδή μία από τις βιβλιοθήκες ανοιχτού κώδικα που χρησιμοποιείτε εξαρτάται από αυτό. Αυτή είναι η φύση του λογισμικού: διαχέεται προς τα κάτω» δήλωσε στο CNN Business ο Chris Eng, επικεφαλής έρευνας στην εταιρεία κυβερνοασφάλειας Veracode. Εταιρείες όπως η Apple, η IBM, η Oracle, η Cisco, η Google και η Amazon, η Cloudflare χρησιμοποιούν το λογισμικό.
Η Jen Easterly, επικεφαλής της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ, έκανε λόγο για «ένα από τα σοβαρότερα κενά ασφαλείας» που έχει δει στην καριέρα της. Σε δήλωσή της το Σάββατο, η Easterly δήλωσε ότι «όλο και περισσότεροι» χάκερ προσπαθούν ενεργά να εκμεταλλευτούν την ευπάθεια. Από την Τρίτη, σημειωνόταν περισσότερες από 100 απόπειρες hacking ανά λεπτό, σύμφωνα με στοιχεία αυτής της εβδομάδας από την εταιρεία κυβερνοασφάλειας Check Point. «Θα χρειαστούν χρόνια για να αντιμετωπιστεί, ενώ οι επιτιθέμενοι θα ψάχνουν... σε καθημερινή βάση [για να το εκμεταλλευτούν]», δήλωσε ο David Kennedy, διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας TrustedSec. «Πρόκειται για ωρολογιακή βόμβα για τις εταιρείες».
Οι χακερς φαίνεται γνώριζαν για πάνω από μια εβδομάδα το ελάττωμα του λογισμικού πριν αυτό γνωστοποιηθεί, σύμφωνα με την Cloudflare. Τώρα, με τόσο μεγάλο αριθμό προσπαθειών παραβίασης κάθε μέρα, ορισμένοι ανησυχούν ότι τα χειρότερα δεν έχουν έρθει ακόμα. «Οι εξελιγμένοι, πιο υψηλόβαθμοι φορείς απειλών θα βρουν έναν τρόπο να αξιοποιήσουν πραγματικά την ευπάθεια για να αποκομίσουν το μεγαλύτερο κέρδος», δήλωσε την Τρίτη ο Mark Ostrowski, επικεφαλής του τμήματος μηχανικής της Check Point.
Το Apache Software Foundation, ένα μη κερδοσκοπικό ίδρυμα που ανέπτυξε το Log4j και άλλο λογισμικό ανοικτού κώδικα, κυκλοφόρησε μια διόρθωση ασφαλείας για να κλείσουν τα κενά αςσφαλείας. Την περασμένη εβδομάδα, το Minecraft δημοσίευσε μια ανάρτηση στο blog του ανακοινώνοντας ότι ανακαλύφθηκε μια ευπάθεια σε μια έκδοση του παιχνιδιού του - και εξέδωσε γρήγορα μια διόρθωση. Άλλες εταιρείες έχουν λάβει παρόμοια μέτρα. Η IBM, η Oracle, η AWS και η Cloudflare εξέδωσαν συμβουλές προς τους πελάτες τους, με ορισμένες να προωθούν ενημερώσεις ασφαλείας ή να περιγράφουν τα σχέδιά τους για πιθανές επιδιορθώσεις.
https://www.ethnos.gr/technology/article/187494/log4jtokenoasfaleiaspoythamporoysenaephreaseiolotointernet
No comments :
Post a Comment