En nyupptäckt cybersäkerhetsbrist påverkar stora delar av internet från Google och Amazon till de system som används för att driva militärer och sjukhus, med US Homeland Securitys högsta cybersäkerhetstjänsteman kallar det den allvarligaste sårbarheten på årtionden.
Felet finns i en populär mjukvara som heter Log4j, som är en del av det allestädes närvarande programmeringsspråket Java. Log4j används av miljontals webbplatser och appar – och mjukvarans brist kan potentiellt göra det möjligt för hackare att ta kontroll över systemen genom att skriva en enkel rad kod, enligt cybersäkerhetsexperter.
“Sårbarheten log4j är den allvarligaste sårbarheten jag har sett i min decennier långa karriär”, sa Jen Easterly, chef för US Cybersecurity and Infrastructure Security Agency, på torsdagen på CNBC.
De flesta hackningsförsök med Log4j har hittills involverat angripare som försökt installera kryptovaluta “mining”-programvara på offrens datorer. Men en iransk hackargrupp kallad “Charming Kitten” har också försökt använda sårbarheten för att bryta mot statliga myndigheter och företag i Israel, enligt cybersäkerhetsföretaget Check Point.
“Sårbarheten log4j är den allvarligaste sårbarheten jag har sett under min decennier långa karriär,” sa Jen Easterly, chef för US Cybersecurity and Infrastructure Security Agency. Getty bilderLog4j-felet är allvarligare än andra cybersäkerhetsbrister på grund av dess “alltändlighet, enkelhet och komplexitet”, enligt Easterly.
“Det är en mjukvara, öppen källkod, som finns i miljontals enheter från videospel till sjukhusutrustning till industriella kontrollsystem till molntjänster”, sa cybersäkerhetstjänstemannen.
“Det är trivialt att utnyttja”, tillade hon. “Och det krävs en mycket fokuserad ansträngning för att kunna hitta och åtgärda sårbarheten.”
“Sårbarheten Log4j är den allvarligaste sårbarheten som jag har sett under min decennier långa karriär”, säger CISA-chefen Jen Easterly till @EamonJavers i en exklusiv intervju. “Alla borde anta att de är utsatta och sårbara.” pic.twitter.com/AJfaTuZ8FE
— CNBC (@CNBC) 16 december 2021
Även om det finns lite som enskilda internetanvändare kan göra för att skydda sig själva, försöker både statliga myndigheter och teknikföretag att åtgärda sårbarheten.
Cybersecurity and Infrastructure Security Agency publicerade ett nöddirektiv på fredagen som uppmanar alla statliga myndigheter att omedelbart “lappa” datorsystem för att åtgärda Log4j-felet.
Google har samtidigt mer än 500 ingenjörer som går igenom företagets kod för att se till att det är säkert, rapporterade Washington Post.
Statliga myndigheter försöker ta itu med sårbarheten.APAsaf Ashkenazi, operativ chef för säkerhetsföretaget Verimatrix, berättade för tidningen att kodare över tekniska företag har klockat för många timmar sedan Log4j-frågan först offentliggjordes den 9 december.
“Några av människorna såg inte sömnen på länge, eller så sover de tre timmar, fyra timmar och vaknar igen,” sa Ashkenazi till Washington Post. – Vi jobbade dygnet runt. Det är en mardröm sedan den var ute. Det är fortfarande en mardröm.”
Även det Microsoft-ägda online-videospelet Minecraft har drabbats. Vissa hackare kunde uppenbarligen göra intrång på offer genom att skriva en enda rad kod i spelets chattruta, enligt Wired. Microsoft säger att det sedan dess har åtgärdat problemet och uppmanar spelare att uppdatera sin Minecraft-mjukvara.
På måndagen tvingades Belgiens försvarsdepartement att stänga av delar av sitt datanätverk efter att hackare utlöst log4j-sårbarheten, rapporterade Wall Street Journal. Ministeriet lämnade inga detaljer om överträdelsen.
De flesta hackningsförsök har enligt uppgift involverat angripare som försöker installera programvara för brytning av kryptovaluta på offrens datorer. Getty bilder
