זה נקרא "הבאג הגרוע ביותר שהשפיע על האינטרנט ב-5 השנים האחרונות, לפחות",לפילמת'יו פרייס, מנכ"ל חברת אבטחת האינטרנט Cloudflare.
"הפגיעות הגדולה והקריטית ביותר של העשור האחרון",אמרמנכ"ל חברת אבטחת הסייבר Tenable, עמית יורן.
פרייס ויורן מדברים על "Log4Shell," ניצול חדש שנמצא ב-log4j2, ספריית רישום בקוד פתוח ב-Java רישום מבוסס-Java שנמצא בדרך כלל בשרתי אינטרנט של Apache. מפתחים מיישמים את זה באפליקציות כדי לתעד את פעילות האפליקציה.
לְפִיחוטי, לא קשה להאקר לנצל את הפגם. שחקן גרוע פשוט צריך לשלוח קוד זדוני שבסופו של דבר יירשם על ידי log4j2. משם, התוקף יוכל להשתלט באופן מלא על שרת מרחוק.
עד כמה זה גרוע?
מהירות אור ניתנת לריסוק
Log4j נמצא בשימוש נפוץ במספר לא ידוע של שרתים. הבעיה יכולה למעשה להכות חלקים גדולים של האינטרנט. Apple iCloud, שירותי מדיה חברתית כמו טוויטר, פלטפורמות משחק מקוונות כמו Minecraft ו-Steam מושפעים כולם.
ניקח את משחק הווידאו הפופולרי בבעלות מיקרוסופטמיינקראפט, למשל. המשחק כבר נפגע על ידי תוקפים המנצלים את Log4Shell. כפי שהסביר מומחה אבטחת הסייבר מארק האצ'ינס, כל מה ששחקן גרוע היה צריך לעשות זה להדביק "הודעה קצרה בתיבת הצ'אט" במשחק והם הצליחו לסכן את השרתים של Minecraft.
מיינקראפטמפתחים תיקנו מאז את הניצול במשחק והמשתמשים נקראו לעדכן את האפליקציה שלהם. עם זאת, אינספור יישומים, פלטפורמות ושירותים אחרים נותרו פגיעים.
"יהיה לי קשה לחשוב על חברה שאינה בסיכון", אמר קצין האבטחה הראשי של Cloudflare, ג'ו סאליבן.AP.
על פי חברת אבטחת הסייבר CrowdStrike, סמנכ"ל מודיעין בכיר, אדם מאיירס, הפגיעות כבר "נוצלה במלוא הנשק" מכיוון ששחקנים מרושעים כבר יצרו כלים לנצל אותה.
"האינטרנט בוער כרגע", אמר מאיירס. "אנשים מתאמצים לתקן וכל מיני אנשים מתאמצים לנצל את זה".
