США попередили про нову вразливість ПЗ: загрожує мільйонам додатків та сервісів

США попередили про нову вразливість ПЗ: загрожує мільйонам додатків та сервісів

Київ  •  УНН

14 грудня 2021, 07:00 • 17423 перегляди

КИЇВ. 14 грудня. УНН. Сотні мільйонів пристроїв по всьому світу можуть наразитися на ризик злому через нещодавно виявлену програмну уразливість, попередили в Агентстві з кібербезпеки та безпеки інфраструктури США (CISA), пише УНН з посиланням на CNN.

Про уразливість

Уразливість знаходиться в програмному забезпеченні на основі Java, відомому як Log4j, яке великі організації, у тому числі деякі з найбільших світових технологічних компаній, використовують для реєстрації інформації в своїх додатках. Технологічні гіганти, такі як Amazon Web Services та IBM, вже почали виправляти помилки у своїх продуктах.

Уразливість надає хакеру відносно простий спосіб отримати доступ до комп'ютерного сервера організації. Звідси зловмисник може отримати інші способи доступу до систем у мережі організації.

Apache Software Foundation, яка керує програмним забезпеченням Log4j, випустила виправлення з безпеки, яке можуть застосовувати організації.

Реакція влади США

У той час як великі технологічні компанії намагаються стримати наслідки, офіційні особи США провели телефонну бесіду з керівниками галузі, попередивши, що хакери активно використовують уразливість.

"Ця вразливість - одна з найсерйозніших, які я бачила за всю свою кар'єру, якщо не найсерйозніша", - сказала директор CISA Джен Істерлі.

"Ми очікуємо, що вразливість буде широко використовуватися досвідченими гравцями, і у нас мало часу, щоб зробити необхідні кроки, щоб знизити ймовірність руйнівних інцидентів", - сказала Істерлі.

Це найсерйозніше попередження офіційних осіб США про уразливість програмного забезпечення з тих пір, як в кінці минулого тижня з'явилися новини про те, що хакери використовували її, щоб спробувати проникнути в комп'ютерні мережі організацій.

Експерти повідомили CNN, що на усунення уразливості можуть піти тижні, і що підозрювані китайські хакери вже намагаються її використовувати.

Так, за даними компанії Cloudflare, що займається кібербезпекою, у зловмисників було більше тижня для використання уразливості в програмному забезпеченні, перш ніж про неї стало публічно відомо.

За словами старшого віце-президента і технічного директора компанії з кібербезпеки Mandiant Чарльза Кармакала, хакери, пов'язані з урядом Китаю, уже почали використовувати вразливість. У Mandiant відмовилися повідомити, на які організації націлені хакери.

Для вирішення цієї проблеми CISA заявила, що створить загальнодоступний веб-сайт з інформацією про те, які програмні продукти були вражені цією вразливістю, і про методи, які хакери використовували для її використання.