Согласно новой группе по кибербезопасности, созданной президентом Джо Байденом, компьютерная уязвимость, обнаруженная в прошлом году в повсеместно распространенном программном обеспечении, является «повсеместной» проблемой, которая потенциально будет представлять угрозу безопасности в течение десяти или более лет.
Ассоциация Наблюдательный совет по кибербезопасности говорится в отчете в четверг, что, хотя не было признаков каких-либо серьезных кибератаки из-за недостатка Log4j он все еще будет «эксплуатироваться годами».
Лог4дж — одна из самых серьезных уязвимостей в программном обеспечении в истории», — заявил в среду журналистам председатель совета директоров, заместитель министра внутренней безопасности Роб Сильверс.
Уязвимость Log4j, обнародованная в конце прошлого года, позволяет злоумышленникам из Интернета легко захватить контроль над всем, от промышленных систем управления до веб-серверов и бытовой электроники. Первые явные признаки эксплуатации уязвимости появились в Minecraft, чрезвычайно популярная онлайн-игра, принадлежащая Microsoft.
Обнаружение уязвимости вызвало срочные предупреждения со стороны государственных чиновников и активные усилия специалистов по кибербезопасности по исправлению уязвимых систем.
Правление заявило в четверг, что «несколько неожиданно» эксплуатация ошибки Log4j произошла на более низких уровнях, чем предсказывали эксперты. Правление также заявило, что ему ничего не известно о каких-либо «значительных» атаках Log4j на системы критической инфраструктуры, но отметило, что некоторые кибератаки остаются незамеченными.
Правление заявило, что будущие атаки вероятны в значительной степени, потому что Log4j обычно встраивается в другое программное обеспечение, и организациям может быть трудно найти его работающим в своих системах.
«Это событие еще не закончилось, — сказал Сильверс.
Log4j, написанный на языке программирования Java, регистрирует действия пользователей на компьютерах. Разработанный и поддерживаемый горсткой добровольцев под эгидой Apache Software Foundation с открытым исходным кодом, он чрезвычайно популярен среди разработчиков коммерческого программного обеспечения.
Исследователь безопасности в китайском технологическом гиганте Алибаба уведомил фонд 24 ноября. На разработку и выпуск исправления ушло две недели. Китайские СМИ сообщили, что правительство наказало Алибаба за то, что не сообщил о недостатке ранее государственным чиновникам.
Правление заявило в четверг, что обнаружило «тревожные элементы» в политике китайского правительства в отношении раскрытия уязвимостей, заявив, что это может дать китайским государственным хакерам ранний взгляд на компьютерные недостатки, которые они могут использовать для гнусных средств, таких как кража коммерческих секретов или шпионаж за диссидентами. Китайское правительство уже давно отрицает правонарушения в киберпространстве и заявило совету директоров, что поощряет улучшение обмена информацией об уязвимостях программного обеспечения.
Правление предложило ряд рекомендаций по смягчению последствий уязвимости Log4j, а также по улучшению кибербезопасности в целом. Это включает в себя предложение, чтобы университеты и общественные колледжи сделали обучение кибербезопасности обязательной частью программ получения степени и сертификации в области компьютерных наук.
Совет по обзору кибербезопасности создан по образцу Национального совета по безопасности на транспорте, который рассматривает авиакатастрофы и другие крупные аварии, и был создан согласно распоряжению, подписанному Байденом в мае прошлого года. В совет из 15 человек входят ФБР, Агентство национальной безопасности и другие правительственные чиновники, а также представители частного сектора. Некоторые сторонники нового совета критиковали DHS за то, что он так долго не работал.
Распоряжение Байдена поручило совету директоров провести первую проверку масштабной российской кампании кибершпионажа, известной как SolarWinds. Российские хакеры смогли взломать несколько федеральных агентств, в том числе учетные записи, принадлежащие высокопоставленным чиновникам по кибербезопасности в DHS, хотя полные последствия этой кампании до сих пор неясны.
Сильверс сказал, что DHS и Белый дом пришли к соглашению о том, что анализ уязвимости Log4j позволит лучше использовать опыт и время нового совета.
