Недостаток безопасности, который напугал Интернет



Лидия Уинтерс демонстрирует "Майнкрафт" от Microsoft, созданный специально для HoloLens, на брифинге Xbox E3 2015 перед выставкой Electronic Entertainment Expo, 15 июня 2015 года, в Лос-Анджелесе. Эксперты по безопасности по всему миру в пятницу, 10 декабря 2021 года, провели гонку, чтобы исправить одну из худших уязвимостей компьютера, обнаруженных за многие годы, критическую ошибку в коде с открытым исходным кодом, широко используемом в промышленности и правительстве в облачных службах и корпоративном программном обеспечении. Эксперты по кибербезопасности говорят, что пользователи онлайн-игры Minecraft уже использовали ее для взлома других пользователей, вставив короткое сообщение в окно чата. Фото: AP/Дамиан Доварганес, 


Профессионалы в области безопасности говорят, что это одна из худших компьютерных уязвимостей, которые они когда-либо видели. Фирмы, включая Microsoft, говорят, что поддерживаемые государством китайские и иранские хакеры и мошенники-майнеры криптовалют уже ухватились за это.


Министерство внутренней безопасности забило страшную тревогу, приказав федеральным агентствам срочно найти и исправить случаи ошибок, потому что их так легко использовать, и попросив тех, у кого есть общедоступные сети, установить брандмауэры, если они не могут быть уверены. Небольшой фрагмент кода, затронутое программное обеспечение часто недокументировано.


Этот недостаток, заложенный в широко используемой утилите Log4j, позволяет интернет-злоумышленникам легко захватить контроль над всем, от промышленных систем управления до веб-серверов и бытовой электроники. Простое определение того, какие системы используют утилиту, является сложной задачей; она часто скрыта под слоями другого программного обеспечения.


Высокопоставленный представитель министерства обороны США по кибербезопасности Джен Истерли сочла этот недостаток "одним из самых серьезных, которые я видел за всю свою карьеру, если не самым серьезным" в ходе телефонного разговора в понедельник с государственными и местными чиновниками и партнерами в частном секторе. Публично раскрытая в прошлый четверг, она является кошачьей мятой для киберпреступников и цифровых шпионов, поскольку позволяет легко и без пароля войти.


Агентство по кибербезопасности и инфраструктурной безопасности, или CISA, которым управляет Истерли, во вторник открыло страницу ресурсов, чтобы разобраться с недостатком, о котором говорится, что он присутствует в сотнях миллионов устройств. Другие сильно компьютеризированные страны воспринимали это так же серьезно, а Германия активизировала свой национальный кризисный центр ИТ.


По словам Драгоша, ведущей фирмы по кибербезопасности, был разоблачен широкий спектр важнейших отраслей промышленности, включая электроэнергию, водоснабжение, продукты питания и напитки, производство и транспорт. "Я думаю, что мы не увидим ни одного крупного поставщика программного обеспечения в мире—по крайней мере, на промышленной стороне—без проблем с этим", - сказал Серджио Кальтаджироне, вице-президент компании по анализу угроз.


Эрик Гольдштейн, возглавляющий отдел кибербезопасности CISA, сказал, что, насколько известно, ни одно федеральное агентство не было скомпрометировано. Но это только начало.


"То, что мы имеем здесь, - это чрезвычайно распространенная, простая в использовании и потенциально очень опасная уязвимость, которая, безусловно, может быть использована противниками для нанесения реального вреда", - сказал он.


Источник.











Обсудить:

0 comments:

Всегда рады услышать ваше мнение!