Groźna luka w zabezpieczeniach biblioteki Log4j jest najpoważniejszą od dekad luką w cyberbezpieczeństwie i prawdopodobnie będzie wykorzystywana przez szerokie rzesze hakerów przez miesiące, jeśli nie lata - oceniła w czwartek szefowa Agencji Cyberbezpieczeństwa i Infrastruktury (CISA) Jen Easterly.
Easterly odniosła się w ten sposób do wykrytej tydzień wcześniej podatności Log4Shell, dotyczącej biblioteki Apache Log4j, powszechnie używanej w wielu aplikacjach napisanych w języku Java. Umożliwia ona nawet nisko zaawansowanym hakerom na przejęcie zdalnej kontroli nad komputerami.
"To najpoważniejsza luka, jaką widziałam w mojej wieloletniej karierze. Wszyscy powinni założyć, że są na nią podatni" - powiedziała szefowa agencji w wywiadzie dla stacji NBC News. Jak dodała, luka będzie szeroko wykorzystywana przez "każdy rodzaj" cyberprzestępców, co będzie miało skutki zarówno dla prywatnych firm, jak i instytucji publicznych.
"Robimy, co możemy, by działać z wyprzedzeniem, ale będziemy się z tym zmagać przez bardzo długi czas. To nie jest coś, co zostanie załatane i załatwione. To jest coś, nad czym będziemy pracować prawdopodobnie przez miesiące, jeśli nie lata" - oceniła ekspertka.
Wykrycie luki wywołało alarm wśród ekspertów cyberbezpieczeństwa i rządowych agencji na świecie. CISA we wtorek rozkazała wszystkim rządowym agencjom załatanie luki do 24 grudnia, jednak w przypadku wielu firm jest to kwestia co najmniej miesięcy z uwagi na stopień trudności odnalezienia luki oraz rozpowszechnienia Log4j.
Według branżowego portalu ZDNet w ciągu pierwszych dni od wykrycia podatności zarejestrowano setki tysięcy prób włamań przez cyberprzestępców, od tych wykorzystujących przejęte komputery do "kopania" bitcoinów, poprzez ataki ransomware, po hakerów służb m.in. z Chin, Rosji, Turcji, Iranu i Korei Północnej.
Z Waszyngtonu Oskar Górzyński (PAP)