БОСТОН. Специалисты по безопасности говорят, что это одна из худших компьютерных уязвимостей, которые они когда-либо видели. Они говорят, что поддерживаемые государством китайские и иранские хакеры и мошеннические майнеры криптовалюты уже воспользовались им.

Министерство внутренней безопасности бьет страшную тревогу, приказывая федеральным агентствам срочно устранить ошибку, потому что ее легко использовать, и советует тем, у кого есть общедоступные сети, установить брандмауэры, если они не могут быть уверены. Уязвимое программное обеспечение невелико и часто не документировано.

Эта уязвимость, обнаруженная в широко используемой утилите Log4j, позволяет злоумышленникам через Интернет легко захватить контроль над всем, от промышленных систем управления до веб-серверов и бытовой электроники. Простое определение того, какие системы используют эту утилиту, - непростая задача; он часто скрыт под слоями другого программного обеспечения.

Джен Истерли, высокопоставленный чиновник службы безопасности США по вопросам кибербезопасности, во время телефонного разговора в понедельник с официальными лицами штата и местными властями и партнерами из частного сектора назвала этот недостаток «одним из самых серьезных, если не самым серьезным, что я видел за всю свою карьеру, если не самым серьезным». Обнародованная в прошлый четверг, это кошачья мята для киберпреступников и цифровых шпионов, поскольку она обеспечивает простой доступ без пароля.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA), которое управляет Истерли, во вторник открыло страницу ресурсов, чтобы помочь устранить недостаток, который, по его словам, присутствует в сотнях миллионов устройств. Другие сильно компьютеризированные страны восприняли это так же серьезно, и Германия активировала свой национальный кризисный центр ИТ.

По словам Dragos, ведущей фирмы, занимающейся кибербезопасностью, был обнаружен широкий спектр критических отраслей, включая электроэнергетику, водоснабжение, продукты питания и напитки, производство и транспорт. «Я думаю, что мы не увидим ни одного крупного поставщика программного обеспечения в мире - по крайней мере, в сфере промышленности - без проблем с этим», - сказал Серджио Кальтаджироне, вице-президент компании по анализу угроз.

Эрик Голдштейн, возглавляющий подразделение кибербезопасности CISA, сказал, что Вашингтон возглавляет глобальные ответные меры. Он сказал, что ни одно из федеральных агентств не было скомпрометировано. Но это ранние дни.

«Мы имеем дело с чрезвычайно распространенной, легко используемой и потенциально опасной уязвимостью, которая, безусловно, может быть использована злоумышленниками для нанесения реального вреда», - сказал он.

МАЛЕНЬКАЯ ЧАСТЬ КОДА, МИР НЕПОЛАДОК

Уязвимое программное обеспечение, написанное на языке программирования Java, регистрирует действия пользователей на компьютерах. Разработанный и поддерживаемый горсткой добровольцев под эгидой Apache Software Foundation с открытым исходным кодом, он чрезвычайно популярен среди разработчиков коммерческого программного обеспечения. По данным службы безопасности Bitdefender, он работает на многих платформах - Windows, Linux, MacOS от Apple - и поддерживает все, от веб-камер до автомобильных навигационных систем и медицинских устройств.

Гольдштейн сообщил журналистам во время телефонной конференции во вторник вечером, что CISA будет обновлять перечень исправленного программного обеспечения по мере появления исправлений. Log4j часто встраивается в сторонние программы, которые нуждаются в обновлении их владельцами. «Мы ожидаем, что восстановление займет некоторое время», - сказал он.

Apache Software Foundation сообщила, что китайский технический гигант Alibaba 24 ноября уведомил его об уязвимости. На разработку и выпуск исправления ушло две недели.

Помимо исправления уязвимости, профессионалы в области компьютерной безопасности сталкиваются с еще более сложной задачей: попытаться определить, была ли использована уязвимость - была ли взломана сеть или устройство. Это будет означать недели активного мониторинга. Бешеные выходные попытки идентифицировать - и захлопнуть - открытые двери до того, как их использовали хакеры, теперь превращаются в марафон.

Затишье перед бурей

Компания Check Point, занимающаяся кибербезопасностью, заявила во вторник, что просканировала 44% корпоративных сетей и обнаружила 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. В нем говорится, что уязвимость была использована для внедрения вредоносного ПО для майнинга криптовалюты, которое использует компьютерные циклы для тайного майнинга цифровых денег - в пяти странах.

На данный момент не было обнаружено ни одного успешного заражения программой-вымогателем, использующей эту уязвимость. Но, по мнению экспертов, это, вероятно, лишь вопрос времени.

«Я думаю, что произойдет то, что произойдет через две недели, прежде чем станет очевидным эффект от этого, потому что хакеры проникли в организации и будут выяснять, что делать дальше». Джон Грэм-Камминг, технический директор Cloudflare, чья онлайн-инфраструктура защищает веб-сайты от сетевых угроз.

«Мы переживаем затишье перед бурей», - сказал старший исследователь Шон Галлахер из фирмы Sophos, занимающейся кибербезопасностью.«Мы ожидаем, что злоумышленники, вероятно, получат как можно больше доступа ко всему, что они могут получить прямо сейчас, с целью монетизации и / или извлечения выгоды из этого позже». Это будет включать извлечение имен пользователей и паролей.

Поддерживаемые государством китайские и иранские хакеры уже использовали эту уязвимость, предположительно для кибершпионажа, и другие государственные субъекты должны были поступить так же, сказал Джон Халтквист, ведущий аналитик по угрозам из компании по кибербезопасности Mandiant. Он не стал называть цель китайских хакеров или ее географическое положение. Он сказал, что иранские субъекты «особенно агрессивны» и принимали участие в атаках программ-вымогателей в первую очередь с подрывной целью.

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ: БЕЗОПАСНОСТЬ ДИЗАЙНА?

Эксперты говорят, что эпизод с Log4j раскрывает плохо решенную проблему в разработке программного обеспечения. Слишком много программ, используемых в критических функциях, были разработаны без должного внимания к безопасности.

«Не следует обвинять разработчиков с открытым исходным кодом, таких как добровольцы, ответственные за Log4j, как целую индустрию программистов, которые часто слепо включают фрагменты такого кода без должной осмотрительности», - сказал Словик из Gigamon.

В популярных и специально разработанных приложениях часто отсутствует «Спецификация программного обеспечения», позволяющая пользователям узнать, что скрывается под капотом, а это крайне важная потребность в такие моменты.

«Очевидно, что это становится все более серьезной проблемой, поскольку поставщики программного обеспечения в целом используют общедоступное программное обеспечение», - сказал Калтаджироне из Dragos.

В частности, в промышленных системах, добавил он, ранее аналоговые системы во всем, от водоснабжения до производства продуктов питания, за последние несколько десятилетий были модернизированы в цифровом виде для автоматизированного и удаленного управления. «И одним из способов, которым они это сделали, очевидно, было использование программного обеспечения и программ, которые использовали Log4j», - сказал Кальтаджироне.

bbabo.Net