„Plačiai naudojamos nemokamos interneto programinės įrangos klaida verčia įmones skubėti atnaujinti savo sistemas ir užkirsti kelią kibernetinėms atakoms, tačiau technologijos paplitimas reiškia, kad grėsmė verslui gali veikti mėnesius, teigia saugumo tyrinėtojai.
Įmonių saugumo vadovai sako, kad savaitgalį suskubo įvertinti, ar ir kaip jų kompiuterių tinklai naudoja programinę įrangą „Log4j“, laukdami, kol pardavėjai atskleis savo technologijų riziką ir išleis programinės įrangos atnaujinimus, kad sumažintų grėsmę. Klaida buvo atskleista ketvirtadienį.
„Log4j“ naudojamas kompiuterių serveriuose, kad būtų saugomi vartotojų veiklos įrašai, kad juos vėliau galėtų peržiūrėti saugos ar programinės įrangos kūrimo komandos. Pelno nesiekianti organizacija „Apache Software Foundation“, atvirojo kodo įrankį nemokamai platinanti grupė, teigė, kad jis buvo atsisiųstas milijonus kartų.
Žmonės turi atnaujinti programas, kad galėtų pataisyti, sakė Ralphas Goersas, fondo savanoris.
Klaida yra ypač pavojinga, atsižvelgiant į tai, kad „Log4j“ plačiai naudojamas įmonių tinkluose, ir kaip lengvai įsilaužėliai gali išnaudoti pažeidžiamumą, teigia saugumo ekspertai. Užpuolikai gali panaudoti šią klaidą, kad įsilaužtų į kompiuterių tinklus, kad pavogtų neskelbtinus duomenis, pasiruoštų išpirkos reikalaujančių programų atakoms arba sukurtų užpakalines duris, kurios leis jiems išlaikyti prieigą prie įmonių sistemų net ir pataisius programinę įrangą.
„Log4j“ sistema naudojama mažiausiai 250 000 atvirojo kodo programinės įrangos projektų, kuriuos katalogavo „Fortress Information Security“, kuri analizuoja tiekėjus kritinės infrastruktūros įmonėms, įskaitant energijos įmones ir gynybos rangovus, sakė Tony Turner, saugumo sprendimų viceprezidentas.
Pasak jo, kūrėjai kartais kuria programinę įrangą ant esamų įrankių, visiškai nesuprasdami pagrindinio kodo, o tai gali užgožti trūkumus, tokius, kaip Log4j pažeidžiamumas.
Daugeliui technologijų pardavėjų gali prireikti savaitės ar dviejų, kad pataisytų programinę įrangą, kurią paveikė pažeidžiamumas, sakė J. Turner. „Bet pažiūrėkime į kalendorių, kas bus po dviejų savaičių? Kalėdos“, – sakė jis. „Tikėtina, kad iki naujųjų metų nematysime jokių suderintų lopų darbų.
Pažeidžiamumas kelia naujausią grėsmę tiekimo grandinėms, kuriai padeda veikti skaitmeninė ekonomika.
JAV pareigūnai pastarosiomis dienomis paragino tiekėjus, paveiktus „Log4j“ pažeidžiamumo, atnaujinti programinę įrangą ir susisiekti su klientais. Kibernetinio saugumo ir infrastruktūros saugumo agentūra pranešė, kad pirmadienį planuoja surengti pagalbos skambutį ir pasidalinti daugiau informacijos su ypatingos svarbos infrastruktūros operatoriais. CISA neatsakė į prašymą pateikti papildomų komentarų.
Ekspertai mano, kad netrukus įvyks išpirkos reikalaujančios programinės įrangos ataka, naudojant šį pažeidžiamumą.
„Manau, kad tai bus kelių valandų klausimas“, – sakė Arijo Nazari Azari, „Evonik Industries AG“ vyriausiasis informacijos saugumo pareigūnas. P. Azari pirmadienį sakė, kad Vokietijos chemijos įmonės saugumo komanda visą savaitgalį dirbo, siekdama tiksliai nustatyti informacinių technologijų infrastruktūros pažeidžiamumą. Jo komanda pirmiausia nuskenavo į internetą nukreiptas sistemas, prieš pereidama prie vidinių platformų.
Jis sakė, kad Evonik uždarė internetinę darbuotojų mokymosi platformą, kaip atsargumo priemonę po to, kai platformos programinės įrangos steke nustatė Log4j programinę įrangą." [1]
1. Business-Software Bug Brings Warning
Uberti, David; Stupp, Catherine. Wall Street Journal, Eastern edition; New York, N.Y. [New York, N.Y]. 14 Dec 2021: B.4.
Komentarų nėra:
Rašyti komentarą