Nemrég mi is beszámoltunk arról, hogy nagyon súlyos, illetéktelen hozzáférést biztosító sebezhetőséget találtak egy nyílt forrású szoftverben, konkrétan az Apache Java környezetben működő Log4j naplózókönyvtárában, és mivel ezt szerte a világon nagy vállalatok és szervezetek is előszeretettel használják, joggal nevezték a szakemberek ezt a hibát a teljes internetet fenyegető sérülékenységnek.
Hirdetés
Az Apache gyorsan lépett, a december 9-i bejelentés után már másnap kiadták a CVE-2021-44228 névvel jelzett hiba javítására frissítésként a Log4j 2.15.0-s verziót. Csakhogy kiderült, hogy a javítás hibás (CVE 2021-45046), mivel bizonyos feltételek mellett lehetőséget ad túlterheléses támadások megindítására, így december 13-án érkezett egy újabb frissítés (Log4j 2.16.0 for Java 8, illetve Log4j 2.12.2 for Java 7). Ezek után csak pár nap telt el, ugyanis ebben a frissítésben is volt hiba (CVE-2021-45105), mely az előzőhöz hasonlókép a DoS előtt nyitotta meg az utat, ezért múlt pénteken, december 18-án kiadták a harmadik frissítést (Log4j 2.17.0 for Java 8).
Időközben sorozatosan érkeztek a hírek arról, hogy támadók aktívan rávetették magukat a hiba (hibák) kihasználására – a legnagyobb visszhangot a belga védelmi minisztérium bejelentése váltotta ki, náluk ugyanis egy sikeres behatolás miatt a rendszer, a hálózat egyes részeit le kellett állítani. De aktiválták magukat zsarolóvírusokra specializálódott bűnözők, állami megbízásból dolgozó hackerek, bankokat támadó szervezetek stb. is. Ezekre a támadásokra többek között a Google és a Microsoft is figyelmeztettek.
A szakértők arra azért felhívják a figyelmet, hogy a javításokban szereplő sebezhetőségeket csak egyes speciális, nem „alapértelmezett” konfigurációk esetében lehet kihasználni – az igazán veszélyes rés az elsőként felfedezett, ennek javítása kell legyen az érintettek fő feladata.
Magyarország sem maradt ki: a hwsw.hu tegnapi cikkében azt írják, hogy a lap „nem hivatalos információi szerint a kritikus biztonsági hiba már hazánkban is szedi áldozatait, illetve olyan, kormányzati rendszerek is érintettek lehetnek, mint a KAÜ, az Ügyfélkapu, az EESZT illetve a NAV egyes online felületei.”