A Joe Biden elnök által létrehozott új kiberbiztonsági panel szerint egy számítógépes sebezhetőség, amelyet tavaly fedeztek fel egy mindenütt jelenlévő szoftverben, „endémikus” probléma, amely akár egy évtizedig vagy még tovább is biztonsági kockázatot jelent.
A Kiberbiztonsági felülvizsgálati testület azt mondta egy csütörtöki jelentésben, hogy bár semmi jele nem volt jelentősebbnek cyberattack a Log4j hibája miatt továbbra is „az elkövetkező években kihasználva lesz”.
"log4j a történelem egyik legsúlyosabb szoftversebezhetősége” – mondta Rob Silvers, a belbiztonsági minisztérium helyettes államtitkára szerdán újságíróknak.
A Log4j múlt év végén nyilvánosságra hozott hibája lehetővé teszi, hogy az internetalapú támadók könnyen átvegyék az irányítást az ipari vezérlőrendszerektől a webszerverekig és a fogyasztói elektronikáig. A hiba kihasználásának első nyilvánvaló jelei ben jelentek meg Minecraft, a Microsoft tulajdonában lévő rendkívül népszerű online játék.
A hiba felfedezése a kormányzati tisztviselők sürgős figyelmeztetését és a kiberbiztonsági szakemberek hatalmas erőfeszítéseit követelte a sebezhető rendszerek javítására.
A testület csütörtökön azt mondta, hogy „némileg meglepő módon” a Log4j hiba kihasználása alacsonyabb szinten történt, mint azt a szakértők előre jelezték. A testület azt is közölte, hogy nincs tudomása a kritikus infrastruktúra-rendszerek elleni „jelentős” Log4j-támadásokról, de megjegyezte, hogy néhány cyberattacks bejelentetlen marad.
A testület szerint a jövőbeni támadások nagyrészt azért valószínűek, mert a Log4j rendszerint más szoftverekbe van beágyazva, és a szervezetek számára nehéz lehet megtalálni, hogy futhassanak a rendszereikben.
„Ez az esemény még nem ért véget” – mondta Silvers.
A Java programozási nyelven írt Log4j naplózza a felhasználói tevékenységeket a számítógépeken. A nyílt forráskódú Apache Software Foundation égisze alatt egy maroknyi önkéntes által fejlesztett és karbantartott, rendkívül népszerű a kereskedelmi szoftverfejlesztők körében.
A kínai technológiai óriás biztonsági kutatója Alibaba november 24-én értesítette az alapítványt. Két hétbe telt a javítás kidolgozása és kiadása. A kínai média arról számolt be, hogy a kormány megbüntette Alibaba amiért nem jelentette korábban a hibát az állami tisztviselőknek.
A testület csütörtökön közölte, hogy "aggasztó elemeket" talált a kínai kormánynak a sebezhetőségek felfedésére vonatkozó politikájában, mondván, hogy ez lehetővé teszi a kínai állami hackerek számára, hogy korán áttekintsék azokat a számítógépes hibákat, amelyeket olyan aljas eszközökre használhatnak fel, mint az üzleti titkok ellopása vagy a másként gondolkodók utáni kémkedés. A kínai kormány régóta tagadja a kibertérben elkövetett jogsértéseket, és azt mondta az igazgatótanácsnak, hogy ösztönzi a szoftverek sebezhetőségeivel kapcsolatos információk jobb megosztását.
A testület számos ajánlást tett a Log4j hiba következményeinek enyhítésére, valamint a kiberbiztonság általános javítására. Ez magában foglalja azt a javaslatot is, hogy az egyetemek és a közösségi főiskolák tegyék a kiberbiztonsági képzést a számítástechnikai diploma és minősítési programok kötelező részévé.
A Kiberbiztonsági Felülvizsgáló Testület a repülőgép-baleseteket és más súlyos baleseteket vizsgáló Nemzeti Közlekedésbiztonsági Testület mintájára jött létre, és Biden tavaly májusban aláírt végrehajtási rendelete adta felhatalmazást. A 15 tagú testület az FBI-ból, a Nemzetbiztonsági Ügynökségből és más kormányzati tisztviselőkből, valamint a magánszektorból áll. Az új testület néhány támogatója kritizálta a DHS-t, amiért ilyen sokáig tartott a rendszer elindítása.
Biden végrehajtási utasítása arra utasította a testületet, hogy végezze el az első felülvizsgálatát a hatalmas orosz kiberkémkedési kampányról. SolarWinds. Az orosz hackerek több szövetségi ügynökséget is feltörhettek, köztük a DHS legmagasabb kiberbiztonsági tisztviselőinek fiókjait, bár a kampány teljes következményei még mindig nem tisztázottak.
Silvers szerint a DHS és a Fehér Ház egyetértett abban, hogy a Log4j hibájának felülvizsgálata az új testület szakértelmének és idejének jobb kihasználása volt.
