Säkerhetsteam på stora och små företag försöker korrigera en tidigare okänd sårbarhet som heter Log4Shell, som har potential att låta hackare äventyra miljontals enheter över internet.
Om den utnyttjas tillåter sårbarheten fjärrkörning av kod på sårbara servrar, vilket ger en angripare möjlighet att importera skadlig programvara som helt skulle äventyra maskiner.
Sårbarheten finns i log4j, en loggningsbibliotek med öppen källkod som används av appar och tjänster över internet. Loggning är en process där applikationer håller en lista över aktiviteter de har utfört som senare kan granskas vid fel. Nästan alla nätverkssäkerhetssystem kör någon form av loggningsprocess, vilket ger populära bibliotek som log4j en enorm räckvidd.
“När jag ser tillbaka på de senaste 10 åren, finns det bara två andra utnyttjande jag kan tänka på med liknande svårighetsgrad”
Marcus Hutchins, en framstående säkerhetsforskare som är mest känd för att stoppa den globala WannaCry malware-attacken , noterade online att miljontals ansökningar skulle påverkas. “Miljontals applikationer använder Log4j för loggning, och allt angriparen behöver göra är att få appen att logga en speciell sträng,” sa Hutchins i en tweet.
Exploateringen sågs först på webbplatser som var värd för Minecraft-servrar, som upptäckte att angripare kunde utlösa sårbarheten genom att skicka chattmeddelanden. En tweet från säkerhetsanalysföretaget GreyNoise rapporterade att företaget redan har upptäckt flera servrar som söker på internet efter maskiner som är sårbara för utnyttjandet.
Ett blogginlägg från applikationssäkerhetsföretaget LunaSec hävdade att spelplattformen Steam och Apples iCloud hade redan visat sig vara sårbara. Varken Valve eller Apple svarade omedelbart på en begäran om kommentar.
För att utnyttja sårbarheten måste en angripare få programmet att spara en speciell teckensträng i loggen. Eftersom applikationer rutinmässigt loggar ett brett spektrum av händelser – såsom meddelanden som skickas och tas emot av användare, eller detaljerna om systemfel – är sårbarheten ovanligt lätt att utnyttja och kan utlösas på en mängd olika sätt.
“Detta är en mycket allvarlig sårbarhet på grund av den utbredda användningen av Java och det här paketet log4j,” säger Cloudflares CTO John Graham-Cumming till The Verge. “Det finns en enorm mängd Java-programvara ansluten till internet och i back-end-system. När jag ser tillbaka på de senaste 10 åren finns det bara två andra bedrifter jag kan komma på med liknande svårighetsgrad: Heartbleed, som gjorde det möjligt för dig att få information från servrar som borde ha varit säkra, och Shellshock, som gjorde att du kunde köra kod på en fjärrdator.”
Mångfalden av applikationer som är sårbara för utnyttjandet, och utbudet av möjliga leveransmekanismer, innebär dock att brandväggsskydd ensamt inte eliminerar risker. Teoretiskt sett skulle exploateringen till och med kunna utföras fysiskt genom att dölja attacksträngen i en QR-kod som skannades av ett paketleveransföretag och ta sig in i systemet utan att ha skickats direkt över internet.
En uppdatering av log4j-biblioteket har redan släppts för att mildra sårbarheten, men med tanke på den tid det tar att säkerställa att alla sårbara maskiner uppdateras förblir Log4Shell ett akut hot.