Na více než třetinu podnikových sítí po celém světě již zaútočili hackeři ve snaze zneužít nově objevenou zranitelnost pro aplikace java. Bezpečnostní díra byla objevená minulý týden v open source knihovně Apache Log4j, která se používá pro přihlašování v milionech aplikací java nebo webových službách.
Uvedly to dnes bezpečnostní firmy Check Point a Kaspersky s tím, že jde o jednu z nejvážnějších zranitelností odhalených v posledních letech s hodnocením deset na desetibodové škále nebezpečnosti.
Jde o velmi nebezpečnou zranitelnost třídy Remote Code Execution (RCE), která umožňuje útočníkům spouštět libovolný kód a potenciálně převzít plnou kontrolu nad systémem na napadeném serveru. Check Point podle svého dnešního vyjádření od pátku zastavil už více než 820.000 pokusů o zneužití této zranitelnosti. Více než 46 procent pokusů mají na svědomí známé hackerské skupiny. A pokusy o zneužití zranitelnosti registruje více než 36,8 procenta podnikových sítí po celém světě.
Podle antivirové firmy Avast jsou ohrožené známé internetové platformy jako Apple, Amazon, Steam, Twitter nebo Minecraft. "Zranitelnost umožňuje útočníkům přístup k cizímu zařízení. A to klidně jednoduše jako třeba odesláním speciálního textu do chatovacího okna zranitelné aplikace. Následně tak mohou zařízení infikovat malwarem, krást data nebo je jakkoli jinak zneužít. V nebezpečí nejsou pouze zařízení přímo připojená k internetu, útočníci se dokáží dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j," uvedl ředitel výzkumu škodlivých programů Avastu Jakub Křoustek.
"Na rozdíl od jiných významných kybernetických útoků, které se týkají jednoho nebo omezeného počtu programů, je Log4j v podstatě součástí každého javového produktu nebo webové služby a je velmi obtížné vše manuálně záplatovat. Ihned po odhalení zranitelnosti začaly hackerské skupiny skenovat internet a hledat zranitelná místa. Navíc se neustále objevují nové možnosti zneužití a obelstění ochran. Zranitelnost, vzhledem ke složitosti záplatování a snadnosti zneužití, bude mít dopad na organizace několik dalších let, pokud společnosti a služby nepřijmou okamžitě odpovídající opatření," dodal Daniel Šafář z české pobočky Check Pointu.
Na první pohled se zranitelnost snaží zneužívat zejména těžaři kryptoměn, ale je pravděpodobné, že to jen maskuje závažnější útoky například na banky, kritickou infrastrukturu a národní bezpečnost. Bezpečnostní týmy musí rychle reagovat, protože následky mohou být podle bezpečnostních firem zničující.
Nová zranitelnost je podle Jevgenije Lopatina z firmy Kaspersky obzvláště problematická. "Útočníci mohou získat úplnou kontrolu nad systémem, ale nebezpečná je i v tom, jak snadno se dá použít - dokonce i nezkušeným hackerem. Průběžně vidíme, jak se kyberútočníci snaží aktivně najít software, který by mohli napadnout,“ dodal.
Bezpečnostní firmy uživatelům doporučují, aby si stáhli nejnovější verzi knihovny 2.15.0. Ke stažení je na stránce projektu Apache. Firmy by také měly používat bezpečnostní řešení, které poskytuje komponenty zaměřené na prevenci zneužití, zranitelnosti a správu oprav.
19. listopadu 2024 15:33
Nad Googlem se stahují mračna. Ministerstvo chce, aby prodal Chrome, v plánu je mu sebrat i Android
Související
Západní podniky musí být připraveny na válečný scénář. Představitel NATO je vyzval k návratu domů
Vláda uvolní peníze na pomoc sportu po povodních. Podpořila také podnikání s Ukrajinou
Aktuálně se děje
před 51 minutami
Z jádra EU do pozice vyvrhela. Orbán i Fico začali hledat nepřátele společně
před 1 hodinou
12 tisíc nestačí. Kim pošle Putinovi další vojáky
před 1 hodinou
Čelí zneužívání i týrání. Na školách v USA umírají tisíce dětí původních obyvatel Ameriky
před 3 hodinami
Ivanka Trumpová definitivně končí s politikou
před 4 hodinami
Asadova manželka odmítá žít v Rusku. Podala žádost o rozvod
před 4 hodinami
Ukrajina už vyřadila z boje 1100 severokorejských vojáků
před 6 hodinami
Počasí na Štědrý den: Bílé Vánoce budou jen někde, vyplývá z předpovědi
včera
Karel III. o Vánocích neuvidí dva prince. Do Sandringhamu nepřijedou
včera
Schick pokračuje ve výtečné fazóně. Čtyřmi góly proti Freiburgu přeskočil Kollera
včera
Útočník z Magdeburgu míří do vazby. Bilance páteční tragédie se změnila
včera
Počasí se ochladilo a déšť se mění ve sníh. Meteorologové poskytli předpověď
včera
RECENZE: Americký muzikálový hit Čarodějka protíná Hollywood a TikTok
včera
Robert Fico je u Putina v Kremlu
včera
Ukrajinci zaútočili na Kazaň. Putin teď slibuje mnohem větší destrukci na Ukrajině
včera
Poslední šance si vyřídit všechno potřebné. Pošta sdělila, jak bude mít otevřeno
včera
Davidovou trápí vyhřezlá ploténka. Na operaci se však zatím nechystá
včera
Bramborový salát podle Magdaleny Dobromily Rettigové
včera
Prosincové projevy politiků: Pavel bude poslední v řadě. Promluví i Zeman
včera
Důchody dostanou lidé do Štědrého dne. Příští rok už to bude o Vánocích jinak
včera
Rok od střelby na FF UK: Oběti se spravedlnosti nedočkají, přestože viníka smrti 14 lidí známe
Tuto sobotu uplynul rok od jednoho z nejtemnějších dnů v historii České republiky. Připomněli jsme si smutné výročí tragické události, kdy na půdě Filozofické fakulty Univerzity Karlovy v Praze vrah chladnokrevně připravil o život čtrnáct nevinných lidí, než sám ukončil svůj život.
Zdroj: Jakub Jurek