V některých systémech, které využívají open source knihovnu Apache a logovací systém Log4j, našel zaměstnanec Alibaby před pár dny zásadní zranitelnost pojmenovanou Log4shell. Vzápětí následovala opravná aktualizace. Riziko však trvá, neboť není jasné, kde všude Log4j slouží. Německý kyberbezpečnostní úřad proto vydal nejvyšší varování a také český Národní úřad pro kybernetickou a informační bezpečnost upozornil na možné riziko.
Problém s knihovnou Log4j využívanou pro přihlašování do systémů byl poprvé odhalen ve hře Minecraft, ale brzy se ukázalo, že je mnohem rozšířenější, než se na první pohled zdálo. Software využívají miliony webových aplikací, k nimž patří také iCloud společnosti Apple. Odpadá tak nutnost vyvíjet vlastní přihlašovací systémy, neboť volně dostupný Log4j slouží jako protokol zaznamenávající důležité události v systému. Proto je to také jeden z nejvyužívanějších logovacích systémů na světě.
Kvůli rizikové části protokolového systému mohou hackeři ovládnout na dálku celý počítač. Spustit tento rizikový program je možné několika způsoby, v případě Minecraftu se to dělo například prostřednictvím zprávy v chatu.
„Tato zranitelnost je obzvláště problematická, protože útočníci mohou získat úplnou kontrolu nad systémem. Nebezpečná je i v tom, že ji může snadno použít i nezkušený hacker. Průběžně vidíme, že se kyberútočníci snaží aktivně vyhledávat software, který by mohli pomocí tohoto CVE (seznam standardizovaných názvů pro zranitelnosti a další ohrožení informační bezpečnosti – pozn. red.) napadnout,“ uvedl pro web itbiz.cz Evgeny Lopatin, bezpečnostní expert ze společnosti Kaspersky.
Zranitelnost podle výzkumníků hackeři využili od minulého pátku už ke 1,2 milionů útokům po celém světě, informuje list Financial Times. Mezi útočníky jsou i čínské hackerské skupiny podporované tamním režimem, uvádí odborník Charles Carmakal ze společnost Mandiant.
Miliardáři z Esetu
„Log4Shell je problematická především proto, že je velmi obtížné zjistit, kde všude se zranitelná verze knihovny Log4j nachází. Poskytovatelé softwaru sice nemusejí používat přímo knihovnu Log4j, ale ta může být součástí jiné použité knihovny. Znamená to, že Log4j musí vývojáři aktualizovat opravdu všude, což může být velice náročné,“ říká ředitel výzkumu malwaru v Avastu Jakub Křoustek.
Někteří odborníci považují kyberhrozbu za jednu z nejsilnějších, kterým musel svět čelit. „Chyba zabezpečení vzdáleného spuštění kódu Apache Log4j je největší a nejkritičtější hrozbou za poslední desetiletí,“ uvedl bezpečnostní specialista Amiz Yoran pro německý deník Frankfuter Allgemeine Zeitung.
Německé softwarové společnosti jako SAP nebo Software AG v současnosti prověřují své systémy. SAP už zranitelnost ve svých systémech detekoval, jak informoval list Handelsblatt.
