Sigurnosni timovi velikih i malih kompanija diljem svijeta nastoje zakrpiti dosad nepoznat, ali kritičan propust za log4j, nazvan Log4Shell koja ima potencijal dopustiti hakerima da ugroze milijune uređaja koji se koriste Javom.

Ako se zloupotrijebi, taj propust omogućava daljinsko izvršavanje koda na ranjivim poslužiteljima, dajući napadaču mogućnost uvoza zlonamjernog softvera koji u potpunosti može kompromitirati uređaje, piše The Verge.

"Internet trenutno gori", izjavio Adam Meyers iz Crowdstrikea, tvrtke za cyber sigurnost.

Propust je otkriven u log4j library zapisniku otvorenog koda koju koriste aplikacije i usluge na internetu. Zapisivanje je proces u kojem aplikacije vode popis aktivnosti koje su izvršile, a koji se kasnije može pregledati u slučaju pogreške. Gotovo svaki mrežni sigurnosni sistem pokreće neku vrstu procesa zapisivanja, što popularnim softverima kakav je log4j daje ogroman doseg.

Marcus Hutchins, stručnjak za IT sigurnost, najpoznatiji po zaustavljanju globalnog napada zlonamjernog softvera WannaCry, smatra da bi milioni aplikacija na internetu mogli biti pogođeni.

''Milioni aplikacija koriste Log4j za prijavu, a sve što napadač treba učiniti je natjerati aplikaciju da zabilježi poseban niz", napisao je Hutchins na Twitteru.

Najveća prijetnja ovog propusta je što hakeri mogu lako pristupiti web serverima bez potrebe za upisivanjem lozinki. Propust je prvi put uočen na stranicama koje opslužuju Minecraft poslužitelje, a koje su otkrile da napadači mogu pokrenuti ranjivost objavljivanjem poruka u chatu.

Kompanija LunaSec za sigurnost aplikacija u svom je blogu navela da su posebno ranjivi platforma za igre Steam i Appleov iCloud.

Kako bi iskoristio ranjivost, napadač mora navesti aplikaciju da spremi poseban niz znakova u dnevnik. Budući da aplikacije rutinski bilježe širok raspon aktivnosti – od poruka koje korisnici šalju i primaju do pojedinosti o greškama sustava – ranjivost je neobično jednostavna za iskorištavanje i može se pokrenuti na razne načine.

"Ovo je vrlo ozbiljna ranjivost zbog raširene upotrebe Jave i ovog paketa log4j", rekao je za The Verge softverski inženjer John Graham-Cumming glavni tehnološki direktor u Cloudflareu .

''Postoji ogromna količina Java softvera na internetu i u pozadinskim sistemima. Kad se osvrnem unatrag deset godina, mogu se sjetiti samo dva ovako ozbiljna problema: Heartbleeda i Shellshocka”, rekao je Graham-Cumming.