Про уразливість
Уразливість знаходиться в програмному забезпеченні на основі Java, відомому як Log4j, яке великі організації, у тому числі деякі з найбільших світових технологічних компаній, використовують для реєстрації інформації в своїх додатках. Технологічні гіганти, такі як Amazon Web Services та IBM, вже почали виправляти помилки у своїх продуктах.
Уразливість надає хакеру відносно простий спосіб отримати доступ до комп'ютерного сервера організації. Звідси зловмисник може отримати інші способи доступу до систем у мережі організації.
Apache Software Foundation, яка керує програмним забезпеченням Log4j, випустила виправлення з безпеки, яке можуть застосовувати організації.
Реакція влади США
У той час як великі технологічні компанії намагаються стримати наслідки, офіційні особи США провели телефонну бесіду з керівниками галузі, попередивши, що хакери активно використовують уразливість.
"Ця вразливість - одна з найсерйозніших, які я бачила за всю свою кар'єру, якщо не найсерйозніша", - сказала директор CISA Джен Істерлі.
"Ми очікуємо, що вразливість буде широко використовуватися досвідченими гравцями, і у нас мало часу, щоб зробити необхідні кроки, щоб знизити ймовірність руйнівних інцидентів", - сказала Істерлі.
Це найсерйозніше попередження офіційних осіб США про уразливість програмного забезпечення з тих пір, як в кінці минулого тижня з'явилися новини про те, що хакери використовували її, щоб спробувати проникнути в комп'ютерні мережі організацій.
Експерти повідомили CNN, що на усунення уразливості можуть піти тижні, і що підозрювані китайські хакери вже намагаються її використовувати.
Так, за даними компанії Cloudflare, що займається кібербезпекою, у зловмисників було більше тижня для використання уразливості в програмному забезпеченні, перш ніж про неї стало публічно відомо.
За словами старшого віце-президента і технічного директора компанії з кібербезпеки Mandiant Чарльза Кармакала, хакери, пов'язані з урядом Китаю, уже почали використовувати вразливість. У Mandiant відмовилися повідомити, на які організації націлені хакери.
Для вирішення цієї проблеми CISA заявила, що створить загальнодоступний веб-сайт з інформацією про те, які програмні продукти були вражені цією вразливістю, і про методи, які хакери використовували для її використання.