Представители службы кибербезопасности США приказали федеральным агентствам защитить свои системы от крупной компьютерной уязвимости к Рождеству.
Агентство по кибербезопасности и инфраструктурной безопасности (CISA) установило крайний срок для исправлений — 24 декабря.
Эксперты по безопасности назвали Log4shell одним из самых серьезных недостатков безопасности за последнее десятилетие.
Глава CISA Джен Истерли назвала это «серьезным риском».
Отдельно Microsoft предупредила, что некоторые национальные хакерские группы используют Log4shell.
Компания сообщила, что «многочисленные отслеживаемые группы национальных государств из Китая, Ирана, Северной Кореи и Турции» использовали уязвимость для различных видов деятельности, от «экспериментов» до целевых атак.
CISA добавила его в «Каталог известных эксплуатируемых уязвимостей» — список общих недостатков безопасности, несущих значительный риск для федеральных организаций.
Агентство заявило, что федеральные гражданские органы исполнительной власти должны «смягчить» проблему — с помощью исправлений ИТ-систем с новым программным обеспечением — к 24 декабря.
Особую озабоченность по поводу Log4shell вызвала простота его использования — одна компания, занимающаяся безопасностью, Crowdstrike, заявила, что использовать его «тривиально».
По данным компании Sonatype, за последние четыре месяца код Log4J, содержащий уязвимость, был загружен 84 миллиона раз из крупнейшего общедоступного репозитория компонентов Java с открытым исходным кодом.
Миллионы компьютеров, на которых запущены онлайн-сервисы, используют его для регистрации или записи событий.
«Например, когда вы покупаете что-то в Интернете, ваше имя пользователя может быть записано в файл журнала для последующей обработки», — сказал BBC News технический директор Cloudflare Джон Грэм-Камминг.
«К сожалению, недостаток в Log4j означал, что, используя специальные символы в данных, которые регистрируются, можно заставить машину внутри компании запускать код, контролируемый злоумышленником.
«Это дает им точку опоры внутри того, что обычно является безопасным, защищенным компьютером».
- Исследователи: Flaw вызывает 100 хакерских атак в минуту Evil Corp: ищет самых разыскиваемых хакеров в мире
Cloudflare, которая обеспечивает безопасность в Интернете и другие услуги, призванные помочь онлайн-бизнесу работать бесперебойно, реализовала меры по защите своих пользователей от уязвимости.
Он сообщил BBC News, что всего за час во вторник заблокировал 1,3 миллиона попыток использования Log4shell.
Выпущены обновления, защищающие от недостатка.
Национальный центр кибербезопасности Великобритании призвал компании «срочно» последовать его советам по устранению проблемы и «немедленно установить последние обновления везде, где известно, что Log4j используется».
Но сайт новостей по безопасности SC Media сообщил, что эксперты «оценили поиск новых экземпляров этой уязвимости на предприятиях и у поставщиков от нескольких месяцев до нескольких лет».