“Internet gori”: Otkriven jedan od najopasnijih sigurnosnih propusta poslednjih godina

Dok sigurnosni stručnjaci pokušavaju što pre da reše problem, kriminalci i hakeri koriste trenutak

Foto: Pixabay

Kritična ranjivost u veoma popularno i često korišćenom softverskom alatu, onom koji se brzo koristi u onlajn igrici Minecraft, postala je velika pretnja organizacijama širom sveta.

Sigurnosni stručnjaci iz malih, ali i onih najvećih svetskih kompanija su u trci s vremenom kako bi što pre popravili propust u "log4j library" putem kojeg hakeri mogu da napadnu milione uređaja širom interneta.

Nedugo nakon što su objavljene informacije o propustu, sigurnosni stručnjaci upozorili su kako ga hakeri i kriminalci već iskorišćavaju. Na udaru je Minecraft te su hakeri iskoristili propust za pokretanje malicioznih programa na računarima korisnika te igre, a propustom su potencijalno ugroženi i korisnici Appleovog iClouda, Twittera, Steama itd.

- Internet trenutno gori, jer s jedne strane brojni stručnjaci pokušavaju da zakrpe taj propust, dok ga s druge strane kriminalci žele iskoristiti, u čemu su neki, dakle, već uspeli i razvili su i distribuiraju alate za njegovo iskorišćavanje - rekao je potpredsednik sigurnosne kompanije Crowdstrike Adam Majers.

Propust je pronađen u alatu koji je veoma rasprostranjen i koristi se u cloud serverima i poslovnom softveru, a njegovim iskorišćavanjem hakerima i kriminalcima otvara se pristup internim računarskim mrežama iz kojih se mogu dokopati važnih podataka koje mogu ukrasti ih ili izbrisati, mogu postaviti različite vrste malvera i slično.

S obzirom na to koliko je kompanija čije usluge koriste brojni interneti korisnici, ali i državnih organizacija ugroženo, Amit Joran, CEO kompanije za kibernetičku sigurnost Tenable je za AP rekao je kako je to najveći i najkritičniji propust u poslednjoj deceniji, a možda i najveći propust u istoriji modernog računarstva.

Ono što je posebno opasno kod ovog propusta nazvanog “Log4Shell” jeste jednostavnost s kojom se može iskoristiti i napadači mogu pristupiti web serverima bez potrebe za upisivanjem lozinki.

Takođe, problematična je i činjenica što, iako je zakrpa za ovaj propust već dostupna, njena primena će biti prilično komplikovana.

Dok je npr. Microsoft izdao patch za Minecraft, pa bi velike kompanije poput Amazona i Apple-aa takođe trebalo da reše taj problem softverskom nadogradnjom, isti "log4j" koriste i brojni drugi programi koje mogu nadograditi samo njihovi vlasnici, zbog čega bi se proces nadogradnje i instaliranja zakrpa mogao produžiti, što će hakerima i kriminalcima ostaviti dosta vremena za napade.

(Telegraf.rs)