Уязвимость log4j угрожает глобальной кибербезопасности

Огромная часть всемирной сети пронизана уязвимостью log4j. Ей оказались подвержены как облако Amazon, так и телевизоры в домах простых граждан. Эксперты в области кибербезопасности сравнивают появление этой уязвимости с апокалипсисом, передает The Washington Post.

Этот материал – часть нашей ежедневной рассылки. На сайте мы публикуем рассылку за предыдущий день. Если вы хотите получать свежую рассылку, подписывайтесь на нее здесь и получайте ее, где вам удобно (на почту или в Telegram).

9 декабря в сообществе специалистов по кибербезопасности начали распространяться слухи о недавно обнаруженной ошибке в чрезвычайно популярном фрагменте компьютерного кода. К следующему дню почти все крупные компании-разработчики программного обеспечения оказались в кризисном положении, пытаясь выяснить, как пострадали их продукты и как они могут залатать эту брешь. Эксперты говорят, что масштаб ущерба, который может нанести новая уязвимость, можно сравнить с апокалипсисом. «Уязвимость log4j — самая серьезная проблема, которую я видел за свою многолетнюю карьеру», — сказала Джен Истерли, директор Агентства по кибербезопасности и безопасности инфраструктуры США, в интервью CNBC в четверг.

Log4j — это фрагмент кода, который помогает программным приложениям отслеживать свои прошлые действия. Вместо того, чтобы заново изобретать компонент «ведения журнала» каждый раз, когда разработчики создают новое программное обеспечение, они часто вместо этого используют существующий код, например log4j. По словам Асафа Ашкенази, главного операционного директора охранной компании Verimatrix, этот код бесплатный, легко доступен в интернете и его несложно использовать.

Несколько недель назад киберсообщество осознало, что, если программа зарегистрирует вредоносный код, она одновременно выполнит этот процесс и позволит злоумышленникам захватить контроль над серверами, на которых запущен log4j. Некоторые говорят, что впервые об уязвимости заговорили на форуме, посвященном игре Minecraft. Другие указывают на специалиста по безопасности из китайской технологической компании Alibaba. Но эксперты сходятся во мнении что это самая большая программная уязвимость за последние годы, потому что она может охватить множество сервисов, сайтов и устройств.

Log4j является частью языка программирования Java, основы для создания программного обеспечения с середины 90-х годов. Огромные участки компьютерного кода различных сервисов используют Java и содержат log4j. Затронуты облачные хранилища таких компаний, как Google, Amazon и Microsoft. А они, в свою очередь, обеспечивают цифровую основу для миллионов других приложений. То же самое произошло и с гигантами индустрии программного обеспечения, сервисы которых используют миллионы людей (IBM, Oracle и Salesforce). Под угрозой также находятся устройства, подключенные к Интернету.

Например, телевизоры и камеры видеонаблюдения. И хотя ошибка присутствовала в течение многих лет, маловероятно, что хакеры-преступники знали о ней до сих пор. В таком случае эксперты по безопасности заметили бы ее использование раньше, считает Уильям Малик, вице-президент компании по кибербезопасности Trend Micro.

Пользователям советуют не открывать электронные письма о том, что ваша учетная запись была взломана или ваш посылка не была доставлена, а также ни в коем случае не открывать никаких ссылок. Нужно убедиться, что у вас действительно есть учетная запись в этой компании или вы ожидаете почту от этого перевозчика. Затем нужно найти реальный контакт службы поддержки этой компании и связаться с ней.