„Ez a sebezhetőség az egyik legsúlyosabb, amit egész pályafutásom során láttam, ha nem a legsúlyosabb” – idézte a ZDNet az Amerikai Egyesült Államok kiberbiztonsági ügynökségének, a CISA (Cybersecurity and Infrastructure Security Agency) húsz éve a pályán lévő igazgatóját. Jen Easterly a Log4j hibáját, más néven a „Log4Shell” sebezhetőségről mondta ezt.

A Log4Shell egy olyan hiba, amely lehetővé teszi, hogy a kiberbűnözők átvegyék az irányítást bármelyik olyan számítógép fölött, amelyiken megtalálható a Log4j. Ez utóbbi egy Java-alapú, nyílt forráskódú szoftver, amelyet azért készítettek, hogy naplózza, ha egy adott alkalmazás futtatása közben hiba történt. A fentebb említett sérülékenység azonban azt is lehetővé teszi, hogy a kiberbűnözők a program által tetszőleges utasításokat hajtsanak végre. Például kriptovalutát bányászó alkalmazást telepítsenek a gépre, illetve onnan adatokat tulajdonítsanak el. A kockázatot nagyban növeli, hogy a naplózót rengeteg cég használja, például az Oracle, a Cisco, a RedHat, az IBM és a VMware.

Így a szakértők szerint alsó hangon is több százmillió eszköz van veszélyben.

A fejlesztő Apache Software Foundation már kiadta a szoftver 2.15.0-s verzióját, amely képes kezelni a hibát, de az ügy ennél sokkal bonyolultabb. A frissítést ugyanis a szoftvert használó gyártóknak is hozzá kell adniuk a termékeikhez, hogy aztán a végfelhasználók is telepíthessék azt. A ZDNet szerint a jelenség jól rávilágít az ilyen együttműködésekre jellemző kockázatokra.

A biztonsági szakértők a héten arra is figyelmeztettek, hogy a javítások lassú ügymenete miatt a támadóknak valószínűleg hónapok, ha nem évek állnak rendelkezésükre, hogy megtalálják és kihasználják a sebezhető eszközöket.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.