Hirdetés

Szinte mindenkit érint a Log4j nyílt szoftver sebezhetősége

A biztonsági szakma egyöntetűen úgy véli, hogy a közelmúlt legsúlyosabb nulladik napi hibájára derült fény.

Kutatók december 9-én (először a Minecraftban) egy olyan sérülékenységre bukkantak rá egy nyílt forrású szoftverben, mely különösen a vállalatoknak okozhat nagy gondot, de közvetve a felhasználóknak is.

A Log4Shell névre keresztelt sérülékenység az Apache Log4j naplózó szoftverében található (2.14.1-es és korábbi verziók) – ezt az eszközt széles körben használják, pl. többek között – hogy csak a legnagyobbakat említsük – az Apple, az Amazon, a Steam, a Cloudflare, a Twitter, a Baidu stb. Így nyugodtan mondhatjuk, ahogy a biztonsági szakemberek is tették, hogy a sebezhetőség az egész internetet érinti.

A hiba súlyosságát az adja, hogy a rés kihasználásával a támadó képes távoli kódot futtatni, majd bejutni a belső rendszerekbe, és ott átvenni az irányítást. Még súlyosabbá teszi a helyzetet, hogy a hiba folytán a támadó úgy juthat be, hogy képes megkerülni az olyan védelmeket is, melyek többrétegűek, vagyis – főleg a nagyvállalatoknál – egymás után több védelmi vonal is ki van építve.

A támadásokra nem is kellett sokat várni: a sebezhetőség híre hamar kiszivároghatott – vagy már korábban is ismert volt egyesek számára –, a felfedés után alig 12 órával már detektáltak sikeres behatolásokat. A híradások szerint a cégek nagyon gyorsan reagáltak, és szinte azonnal tettek védelmi intézkedéseket.

A felfedezés után az Apache is gyorsan lépett, kiadtak egy javítást, és mindenkit sürgetnek, hogy a lehető leghamarabb térjenek át a Log4j 2.15.0 verzióra. Ugyanakkor az is nagy gondot okoz, hogy bár a nagyvállalati rendszereket, mint például az Amazon felhőszolgáltatása, gyorsan lehet frissíteni, a számtalan harmadik fél esetében ez biztosan lassabb folyamat lesz.

Azóta történt

Előzmények