Cyberbezpieczeństwo

Najpoważniejsza luka od dekad. "Będzie wykorzystywana przez hakerów miesiącami, jeśli nie latami"

Fot. Christoph Scholz/Flickr/CC BY-SA 2.0

"To najpoważniejsza luka, jaką widziałam w mojej wieloletniej karierze. Wszyscy powinni założyć, że są na nią podatni"- podkreśliła Jen Easterly, szefowa amerykańskiej Agencji Cyberbezpieczeństwa i Infrastruktury (CISA). Wskazała, że podatność będzie szeroko wykorzystywana przez "każdy rodzaj" cyberprzestępców miesiącami, jeśli nie latami.

Easterly odniosła się w ten sposób do wykrytej tydzień wcześniej podatności Log4Shell, dotyczącej biblioteki Apache Log4j, powszechnie używanej w wielu aplikacjach napisanych w języku Java. Umożliwia ona nawet nisko zaawansowanym hakerom na przejęcie zdalnej kontroli nad komputerami.

"To najpoważniejsza luka, jaką widziałam w mojej wieloletniej karierze. Wszyscy powinni założyć, że są na nią podatni" - powiedziała szefowa agencji w wywiadzie dla stacji NBC News. Jak dodała, luka będzie szeroko wykorzystywana przez "każdy rodzaj" cyberprzestępców, co wiąże się z poważnymi skutkami zarówno dla prywatnych firm, jak i instytucji publicznych.

"Robimy, co możemy, by działać z wyprzedzeniem, ale będziemy się z tym zmagać przez bardzo długi czas. To nie jest coś, co zostanie załatane i załatwione. To jest coś, nad czym będziemy pracować prawdopodobnie przez miesiące, jeśli nie lata" - oceniła ekspertka.

Cyberspecjaliści biją na alarm

Wykrycie luki wywołało alarm wśród ekspertów cyberbezpieczeństwa i podmiotów państwowych na świecie. CISA we wtorek rozkazała wszystkim rządowym agencjom załatanie luki do 24 grudnia, jednak w przypadku wielu firm jest to kwestia co najmniej miesięcy z uwagi na stopień trudności odnalezienia luki oraz rozpowszechnienia Log4j.

Według branżowego portalu ZDNet w ciągu pierwszych dni od wykrycia podatności zarejestrowano setki tysięcy prób włamań przez cyberprzestępców, od tych wykorzystujących przejęte komputery do „kopania" bitcoinów, poprzez ataki ransomware , po hakerów służb m.in. z Chin, Rosji, Turcji, Iranu i Korei Północnej.

Poważne zagrożenie dla Polaków

W Polsce przed krytyczną podatnością ostrzegał zespół CERT Polska, działający w ramach NASK-u. Wskazali, że podatność pozwala na zdalne wykonanie kodu, przez co należy oceniać ją jako poważne zagrożenie. Jej wykorzystanie nie jest wymagające, lecz wręcz przeciwnie - w internecie można znaleźć konkretne przykłady jak to zrobić.

Zdaniem ekspertów wektor ataku nie ogranicza się do aplikacji webowych. "  Podatne mogą być wszystkie aplikacje  korzystające z biblioteki Apache Log4j, jeśli zapisują w logach wartości kontrolowane przez użytkownika. Przykładowo, jeśli przetwarzane są nagłówki maila, czy zapytań DNS w aplikacji korzystającej z tej biblioteki, to taki system również może być podatny" - tłumaczą specjaliści.

Polskie firmy już są atakowane

Co powinno niepokoić, luka jest już teraz szeroko wykorzystywana przez cyberprzestępców. Potwierdzają to dane udostępnione przez Check Point Research, według których mniej więcej 2/5 polskich firm doświadczyło w ostatnich dniach próby wykorzystania podatności.

Jak informowaliśmy na łamach naszego portalu , w pierwszych 72 godzinach od ujawnienia podatności w Log4j, udokumentowano blisko 850 tys. ataków, a w szczytowych momentach hakerzy przeprowadzali ponad 100 włamań na minutę.

46 proc. realizowanych było przez znane złośliwe grupy hakerskie. Specjaliści cyberbezpieczeństwa wskazują, że zaledwie 24 godziny po ogłoszeniu exploita, pojawiło się ponad 60 nowych wariantów.

W tym miejscu warto podkreślić, że w naszym kraju aż 42 proc. firm doświadczyło próby wykorzystania luk Log4j w swoich systemach, a w skali globalnej podatność była wykorzystywana w co najmniej 40 proc. organizacji. Nie wiadomo póki co, ile z ataków zakończyło się sukcesem.

SZP/PAP

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.