Pasaulį gąsdina klaida plačiai naudojamoje „Java“ įrašų bibliotekoje

Pastarosiomis dienomis aptikta klaida plačiai naudojamoje Java programavimo kalbos pagrindu sukurtoje įrašų bibliotekoje Log4j gąsdina IT specialistus. Pasinaudojant spragomis jau surengta virš milijono kibernetinių atakų, manoma, kad tarp jų rengėjų įvairios su Kinija ir Iranu siejamos programišių grupuotės.
Kibernetinio saugumo įmonė Check Point skelbia, kad išpuoliai, susiję su Log4j bibliotekos klaida, pavadinta Log4Shell, ypač padažnėjo nuo praėjusio penktadienio. Tyrėjai teigia, kad kai kada buvo pastebima net ir po 100 kibernetinių išpuolių per minutę.
Kibernetinio saugumo bendrovės ir Microsoft teigia stebinčios atvejus, kuomet atakas, pasinaudojant Log4j klaida, rengia su Kinija ir Iranu siejamos programišių grupuotės. Pagal CVSS (angl. Common Vulnerability Scoring System) standartą, Log4Shell spragos rimtumas įvertintas 10 balų iš 10-ies.
Financial Times rašo, kad pasinaudojant Log4j klaida, kurios oficialus pavadinimas yra CVE-2021-44228, įmanoma gana nesunkiai gauti prieigą prie su Java programavimo kalba veikiančių sistemų.
Check Point analitikai teigia, kad dažnai programišiai, įsilaužę į kompiuterius, į juos įdiegia robotus bei pajungia kasti kriptovaliutas, arba įtraukia į botnetus nuotoliniu būdu valdomus didelius kompiuterių tinklus, kurie vėliau panaudojami DDoS atakoms, šlamšto siuntinėjimui ar pan.
Jen Easterly, JAV Kibernetinio ir infrastruktūros saugumo agentūros direktorė, sako, kad tai viena didžiausių sistemų klaidų, kurią jai yra tekę matyti per savo karjerą.
Manome, kad šis pažeidžiamumas bus išnaudojamas itin plačiai. Turime labai mažai laiko imtis reikiamų žingsnių, kad sumažintume žalos tikimybę, apie Apache Log4j klaidą sakė ji.
Trečiadienį pranešimą išplatinusi telekomunikacijų bendrovė Telia atkreipia dėmesį, kad Log4j įrašų bibliotekos klaida yra ypač pavojinga dėl jos populiarumo dažniausiai ši biblioteka sutinkama serverių ir debesijos paslaugų programinėje įrangoje.
Log4Shell tapo nemalonia staigmena visiems, dirbantiems IT ir saugumo srityje, įskaitant ir mus. Paveikta daug technologijų, sistemų ir visa tai kelia didelę riziką. Telia specialistai ėmėsi skubių veiksmų, diegė naujinimus, bendradarbiaujame su tiekėjais, pranešime sakė Odeta Baranauskienė, Telia Saugos komandos vadovė.
Pasak jos, nepakanka tik įdiegti naujausią Log4j versiją IT specialistai turėtų atlikti sistemos patikrinimus bei įvertinti, ar į sistemą nebuvo įsilaužta ir ar nėra kenkėjiškos veiklos požymių.
Anot ekspertų, klaida egzistavo ir buvo nepastebima nuo pat 2013 m. Log4Shell yra vadinama nulinės dienos spraga, kadangi saugumo ekspertai nesukūrė klaidos ištaisymo iki tol, kol apie defektą nebuvo sužinota ir juo nebuvo pradėta aktyviai naudotis.
Pasirinkite jus dominančias įmones ir temas asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos Verslo žiniose, Sodros, Registrų centro ir kt. šaltiniuose.
Prisijungti
Prisijungti
Prisijungti
Prisijungti