2. Hírek
  3. Biztonság

Egyre kaotikusabb a Log4j sebezhetőség ügye

Pánikhangulat ugyan nincs, de izgatottság igencsak. Az érintett rendszergazdák egy részének munkával telhet az ünnep.

Nemrég mi is beszámoltunk arról, hogy nagyon súlyos, illetéktelen hozzáférést biztosító sebezhetőséget találtak egy nyílt forrású szoftverben, konkrétan az Apache Java környezetben működő Log4j naplózókönyvtárában, és mivel ezt szerte a világon nagy vállalatok és szervezetek is előszeretettel használják, joggal nevezték a szakemberek ezt a hibát a teljes internetet fenyegető sérülékenységnek.

Az Apache gyorsan lépett, a december 9-i bejelentés után már másnap kiadták a CVE-2021-44228 névvel jelzett hiba javítására frissítésként a Log4j 2.15.0-s verziót. Csakhogy kiderült, hogy a javítás hibás (CVE 2021-45046), mivel bizonyos feltételek mellett lehetőséget ad túlterheléses támadások megindítására, így december 13-án érkezett egy újabb frissítés (Log4j 2.16.0 for Java 8, illetve Log4j 2.12.2 for Java 7). Ezek után csak pár nap telt el, ugyanis ebben a frissítésben is volt hiba (CVE-2021-45105), mely az előzőhöz hasonlókép a DoS előtt nyitotta meg az utat, ezért múlt pénteken, december 18-án kiadták a harmadik frissítést (Log4j 2.17.0 for Java 8).

Időközben sorozatosan érkeztek a hírek arról, hogy támadók aktívan rávetették magukat a hiba (hibák) kihasználására – a legnagyobb visszhangot a belga védelmi minisztérium bejelentése váltotta ki, náluk ugyanis egy sikeres behatolás miatt a rendszer, a hálózat egyes részeit le kellett állítani. De aktiválták magukat zsarolóvírusokra specializálódott bűnözők, állami megbízásból dolgozó hackerek, bankokat támadó szervezetek stb. is. Ezekre a támadásokra többek között a Google és a Microsoft is figyelmeztettek.

A szakértők arra azért felhívják a figyelmet, hogy a javításokban szereplő sebezhetőségeket csak egyes speciális, nem „alapértelmezett” konfigurációk esetében lehet kihasználni – az igazán veszélyes rés az elsőként felfedezett, ennek javítása kell legyen az érintettek fő feladata.

Magyarország sem maradt ki: a hwsw.hu tegnapi cikkében azt írják, hogy a lap „nem hivatalos információi szerint a kritikus biztonsági hiba már hazánkban is szedi áldozatait, illetve olyan, kormányzati rendszerek is érintettek lehetnek, mint a KAÜ, az Ügyfélkapu, az EESZT illetve a NAV egyes online felületei.”

Azóta történt

Előzmények