מערך הסייבר הלאומי הוציא הערב התרעה דחופה על חולשה חמורה בקוד פתוח חינמי בשם Log4j, אשר מנוצלת לתקיפות ברחבי העולם. לפי מערך הסייבר הלאומי, מדובר באופן סורס (קוד פתוח) בשם Log4j, שמקורו בפרויקט Apache, והוא כלול במספר רב של מוצרים שונים וגם בשירותי ענן שונים. מומחים בשוק מגדירים זאת כאחד מאירועי החולשות החמורים בעולם בשנים האחרונות.
לוטם פינקלשטיין, מנהל המחקר והמודיעין בחברת אבטחת המידע צ'ק פוינט, אמר כי "במהלך סוף השבוע התגלתה חולשה באחת מהתוכנות הפופולאריות ביותר האמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה Log4j, לכאורה לא מוכרת, משובצת כמעט בכל שירות אינטרנטי או אפליקציה המוכרים לנו כולל טוויטר, אמזון מייקרוסופט ומיינקראפט".
הקוד הפתוח הזה משמש לרישום לוגים בתוכנות שונות הכתובות בשפת ג'אווה. "לאחרונה פורסמה פגיעות קריטית בקוד הפתוח, המאפשרת לתוקף מרוחק הרצת קוד על שרת המפעיל קוד זה (RCE) ללא צורך בהזדהות באמצעות משלוח תעבורה ספציפית לשרת", נכתב בהודעת המערך. כלומר, מדובר בתוכנה לכתיבת לוגים ודרכה אפשר לחדור לכל ארגון שמשתמש בה.
הפגיעות קיבלה ציון CVSS מקסימלי של 10.0 וצוין כי היא ניתנת לניצול מרחוק נגד כל שרת שבו פועל הקוד (למעשה, אלו הנגישים מרשת האינטרנט). בנוסף, חברות רבות כמו סיסקו ו-VMware אישרו שנעשה שימוש בקוד במוצריהם, וממליצים להתקין את עדכון האבטחה הרלוונטי.
"הדרך לניצול של החולשה הייתה קצרה ובתוך מספר שעות תוקפים שונים החלו להשתמש בה. בבוקר ראינו יותר מ-86 אלף ניסיונות ניצול של החולשה ברחבי העולם (הרוב בארה"ב). זה מעיד על מגמה שרק תלך ותתרחב בימים הקרובים, מי שלא ישתמש בהגנה מזה צפוי להיות מותקף", מסביר פינקלשטיין.
לפי צ'ק פוינט, עיקר המתקפות נוגעות לכריית מטבעות קריפטוגרפיים על חשבון הקורבנות. "על כן, על מנת לצמצם את הצלחות התוקפים, אנו מאיצים בכל ארגון או שירות שלא נקט באמצעי הגנה כנגד מתקפה זו, לעשות זאת כעת ולהגן על המידע והנכסים שברשותו", חתם פינקלשטיין.
במערך הסייבר ממליצים לארגונים להתקין את עדכון האבטחה שפורסם בהקדם האפשרי (2.15.0) או להגדיר את המעקף שפורסם ע"י Apache.
הכתבה פורסמה במקור בגלובס