Otkriven jedan od najopasnijih bezbednosnih propusta poslednjih godina


Kritična ranjivost za log4j, nazvana Log4Shell, počela je da stvara veliki problem ogromnom broju korisnika Jave. Naime, ranjivost koja je službeno objavljena u četvrtak, 9.12., s POC-om (Proof of Concept) već u petak je počela da hara širom sveta.

Na tapetu su svi – od Apple-a i Twitter-a preko Valve-a pa do Minecraft-a, prinetan broj meta – a najgore od svega je što, makar tehnički kompleksna, ranjivost je izuzetno jednostavna za iskoristiti. Log4Shell omogućava da kroz bezbednosni propust u log4ju napadač na ciljanoj aplikaciji izvrši računarski kôd po želji, bilo da se radilo o serverskoj ili klijentskoj (npr. Minecraft i njegovih 140 miliona igrača).

Apache, koji je zadužen za log4j, je izdao novu verziju koja anulira ranjivost, ali opet zbog popularnosti libraryja, pitanje je kad će svet zakrpiti svoje aplikacije. Pogotovo je problematično u enterprise svetu gde se sistemi ne krpe preko noći.

Ono što je posebno opasno kod ovog propusta nazvanog “Log4Shell” jeste jednostavnost sa kojom se može iskoristiti i napadači mogu pristupiti web serverima bez potrebe za upisivanjem lozinki.

Situaciju je najbolje opisao stariji potpredsednik bezbednosne kompanije Crowdstrike Adam Meyers - "internet trenutno gori" jer s jedne strane brojni stručnjaci pokušavaju da zaprpe taj propust, dok ga s druge strane kriminalci žele iskoristiti, u čemu su neki, dakle, već uspeli pa su razvili i distribuiraju alate za njegovo iskorišćavanje.

Tokom sledećih dana, a i nedelja, sigurno će se javiti veliki broj bezbednosnih incidenata vezanih baš uz Log4Shell – biće to, ako ništa drugo, zanimljivo za gledati.

Podeli
Pošalji
Podeli
Podeli
Pošalji
Pošalji

Komentariši! Budi prvi i započni diskusiju!
Broj komentara:
0

Postavi komentar

Vaš komentar:

 
Početna      Impressum      Pravila komentarisanja      Marketing      Kontakt
 

 
© 2009-2021 IT vesti - Sva prava zadržana. Zabranjeno je svako kopiranje sadržaja sajta bez pismene dozvole.