Відповідно до нової панелі кібербезпеки, створеної президентом Джо Байденом, комп’ютерна вразливість, виявлена минулого року у всюдисущому програмному забезпеченні, є «ендемічною» проблемою, яка створюватиме загрозу безпеці протягом десятиліття чи більше.
Команда Рада з перевірки кібербезпеки сказано в звіті в четвер, що поки не було жодних ознак будь-яких великих кібератак через недолік Log4j, він все ще буде «експлуатуватися протягом багатьох років».
"log4j є однією з найсерйозніших уразливостей програмного забезпечення в історії», — заявив журналістам у середу голова правління, заступник міністра внутрішньої безпеки Роб Сілверс.
Помилка Log4j, оприлюднена наприкінці минулого року, дозволяє інтернет-зловмисникам легко захопити контроль над усім: від промислових систем керування до веб-серверів і споживчої електроніки. Перші явні ознаки експлуатації недоліку з'явилися в Minecraft, надзвичайно популярна онлайн-гра, що належить Microsoft.
Виявлення недоліку спонукало до термінових попереджень урядових чиновників і масових зусиль фахівців з кібербезпеки для виправлення вразливих систем.
Правління заявило в четвер, що «дещо несподівано» використання помилки Log4j відбулося на нижчих рівнях, ніж передбачали експерти. Правління також заявило, що йому не відомо про будь-які «значні» атаки Log4j на системи критичної інфраструктури, але зауважило, що деякі кібератаки не повідомляти.
Рада директорів заявила, що майбутні атаки ймовірні значною мірою через те, що Log4j регулярно вбудовується в інше програмне забезпечення, і організаціям може бути важко знайти запущений у своїх системах.
«Ця подія не закінчилася», — сказав Сільверс.
Log4j, написаний мовою програмування Java, реєструє дії користувачів на комп’ютерах. Розроблений і підтримуваний кількома волонтерами під егідою Apache Software Foundation з відкритим кодом, він надзвичайно популярний серед розробників комерційного програмного забезпечення.
Дослідник безпеки в китайському технологічному гіганті Alibaba повідомила фонд 24 листопада. На розробку та випуск виправлення знадобилося два тижні. Китайські ЗМІ повідомили, що уряд покарав Alibaba за те, що раніше не повідомили про недолік державним службовцям.
Правління заявило в четвер, що виявило «тривожні елементи» в політиці китайського уряду щодо розкриття вразливостей, заявивши, що це може дати китайським державним хакерам ранній погляд на комп’ютерні недоліки, які вони можуть використовувати для мерзенних засобів, таких як викрадення комерційної таємниці або шпигунство за дисидентами. Уряд Китаю давно заперечує правопорушення в кіберпросторі та повідомив правлінню, що заохочує покращений обмін інформацією про вразливості програмного забезпечення.
Рада запропонувала низку рекомендацій щодо пом’якшення наслідків недоліку Log4j, а також покращення кібербезпеки в цілому. Це включає пропозицію про те, щоб університети та коледжі зробили навчання з кібербезпеки обов’язковою частиною програм інформатики та програм сертифікації.
Рада з аналізу кібербезпеки створена за моделлю Національної ради з безпеки на транспорті, яка розглядає авіакатастрофи та інші великі аварії, і була уповноважена наказом Байдена, підписаним у травні минулого року. Рада з 15 членів складається з ФБР, Агентства національної безпеки та інших урядовців, а також представників приватного сектору. Деякі прихильники нової правління критикували DHS за те, що йому знадобилося так багато часу, щоб його запустити.
Виконавчий указ Байдена наказав Раді провести перший огляд масової російської кампанії кібершпигунства, відомої як SolarWinds. Російським хакерам вдалося зламати декілька федеральних агенцій, у тому числі облікові записи, що належать високопосадовцям відділу кібербезпеки в DHS, хоча повні наслідки цієї кампанії досі неясні.
Сілверс сказав, що DHS і Білий дім погодилися, що перегляд недоліку Log4j є кращим використанням досвіду та часу нової ради.
