Felhasználók milliárdjainak adatait, illetve az online térben jelenlevő cégek és szervezetek szinte mindegyikét fenyegető súlyos biztonsági hibára bukkantak egy széles körben elterjedt szoftverben. “Az internet éppen lángokban áll” – festett drámai képet a helyzetről Adam Meyers, a Crowdstrike kiberbiztonsági cég felderítésért felelős alelnöke. Elmondása szerint péntek reggel, a hiba felfedezése után fél nappal a kiberbűnözők már fegyverként használták a sérülékenységet, mely révén még amatőrök is könnyedén bejuthatnak az internethez csatlakozó belső hálózatokra, hogy aztán onnan adatokat lopjanak, vagy kártékony programokat telepítsenek.
“Nehéz azt gondolnom, hogy van cég, amit ez ne érintene” – nyilatkozta egy másik nagy kiberbiztonsági cég, a Cloudfare biztonsági főnöke, Joe Sullivan.
A Log4Shell névre keresztelt kritikus sérülékenységet egy olyan open-source, a felhasználók beléptetését kezelő naplózó szoftverben találták, amit szinte általánosan használnak a cloud-szervereken és a vállalati és kormányzati rendszerekben. A szoftver elterjedtsége, illetve a hiba könnyed kihasználásának lehetősége miatt a Tenable nevű kiberbiztonsági cég igazgatója, Amit Yoran a csütörtökön felfedezett sérülékenységet, “az elmúlt évtized legsúlyosabb egyedi sérülékenységeként” jellemezte, de azt se zárta ki, hogy valójában a számítástechnika történetének legsúlyosabb hibája volna.
Hogy miért olyan súlyos ez a hiba? A szakértők szerint a sérülékenységet kihasználva gyakorlatilag bárki jelszó nélkül férhet hozzá a zárt rendszerekhez, hogy aztán ezt a hozzáférést kihasználva szabadon garázdálkodhasson.
A hibát kijavítani se lesz könnyű, mert bár az olyan nagy cloud-szolgáltatók, mint például az AWS gyorsan patchelheti a rendszereit, a támadható szoftvert 3rd party alkalmazások ezrei is használják, ezeket pedig csak egyesével tudnák frissíteni a felhasználóik. (Via The Guardian)
Forrás: https://444.hu/2021/12/11/kritikus-hibara-bukkantak-egy-szeles-korben-elterjedt-szoftverben