Znaleziono groźną lukę dotyczącą bezpieczeństwa. Tysiące aplikacji podatnych na problem

Kilka dni temu odkryto lukę w zabezpieczeniach, która pozwala hakerom na przejęcie (przynajmniej częściowej) kontroli nad komputerem. Biblioteka Apache Log4j, w której odkryto problem, jest wykorzystywana niemal w całym internecie.
Zobacz wideo Marzysz o konsoli lub komputerze pod choinką? Zapomnij. Ceny elektroniki stanęły na głowie [TOPtech]

Specjaliści od cyberbezpieczeństwa alarmują. Odkryto nową, krytyczną lukę bezpieczeństwa w bibliotece Apache Log4j wykorzystywanej w aplikacjach napisanych w języku Java. Zagrożonych jest tysiące programów. 

Więcej o nowych technologiach na stronie głównej Gazeta.pl

Specjaliści ostrzegają przed nową luką. Narażonych tysiące aplikacji

Luka w zabezpieczeniach biblioteki powoduje podatność pozwalającą na zdalne wykonanie kodu w ramach uprawnień danej aplikacji (w której luka zostanie wykorzystana) - informuje CERT Polska. Oznacza to, że przestępcy mogą skorzystać ze słabości zabezpieczeń aplikacji podatnej na atak i przejąć zdalną kontrolę nad naszym urządzeniem - chociażby wykorzystać komputer w roli koparki kryptowalut.

Sprawa jest bardzo poważna, bo biblioteka Apache Log4j jest jedną z najczęściej wykorzystywanych bibliotek do logowania zdarzeń w języku programowania Java. Oznacza to, że na problem narażone są aplikacje (głównie internetowe, ale nie tylko) tysięcy firm. To chociażby niektóre programy firm, takich jak VMware, CISCO, czy Atlassian - tłumaczy CERT Polska.

W bibliotece Apache Log4j znaleziono krytyczną podatność CVE-2021-44228 (Log4Shell), pozwalającą na zdalne wykonanie kodu. Biblioteka ta jest jedną z najczęściej używanych bibliotek do logowania zdarzeń, wykorzystywanych przez aplikacje napisane w języku Java. Należy zaznaczyć, że z biblioteki korzysta bardzo wiele komercyjnych aplikacji i prawdopodobieństwo wystąpienia zagrożenia związanego z tą podatnością w organizacji jest wysokie

- czytamy w raporcie CERT Polska.

Jak podają specjaliści, podatne na atak są biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie. Poprzednie wersje są co prawda odporne, ale i od dawna niewspierane, dlatego rzadko dziś wykorzystywane. Szczęśliwie bezpieczne są aplikacje na smartfony z Androidem wykorzystujące Apache Log4j.

Problem może dotknąć jednak ogromną część firm lub nawet sparaliżować ich pracę. Co więcej, doskonale wiedza o tym przestępcy, którzy rozpoczęli już przeprowadzanie ataków. Zdaniem ekspertów, w przyszłości będzie ich tylko więcej.

Obserwujemy coraz więcej prób ataków oraz wzrost ich zaawansowania. Można się spodziewać, że będzie to trend narastający. Problem dotyczy bardzo dużej liczby systemów, stąd rekomendujemy podjęcie natychmiastowych działań

- tłumaczy CERT Polska.

Więcej o: