Öryggisfyrirtækið Syndis hvetur fyrirtæki og stofnanir á Íslandi til þess að fara yfir hugbúnað sinn og kanna hversu berskjölduð þau eru fyrir veik­leika sem upp­götvaðist 9. des­em­ber.

Um er að ræða veik­leika í kóðasafni sem nefn­ist “log4j”.

Veik­leik­an­um hef­ur verið út­hlutað auðkenn­is­núm­er­inu CVE-2021-44228 og fengið ein­kunn­ina 10 sam­kvæmt CVE, sem er gagna­grunn­ur sem held­ur utan um veik­leika og áætl­ar hve hættu­leg­ir þeir eru, að því er seg­ir í viðvör­un­inni.

Hægt að valda stórkostlegu tjóni

„Veikleikinn er í hugbúnaði sem flest kerfin sem við notum í stafrænu umhverfi er byggður á, á bakvið tjöldin. Stór hluti innviða er smíðaður í þessu forritunarmáli sem heitir Java, og í því er kóðaviðbót sem nefn­ist “log4j” – hún er mjög algeng og mikið notuð og þessi útgáfa af henni er með þennan öryggisveikleika,“ segir Theódór R. Gíslason tæknistjóri Syndis í samtali við mbl.is.

„Það er mjög auðvelt að misnota hann. Það er varla hægt að finna fyrirtæki eða stofnun á Íslandi sem er ekki að nota þennan hugbúnað, hvort sem þau vita það eða ekki,“ bætir hann við.

„Af því að þetta keyrir á viðkvæmri staðsetningu, þá ef þú misnotar svona veikleika þá ertu kominn á hjartastað í svona rafrænum kerfum og með fullan aðgang í raun. Það er hægt að valda stórkostlegu tjóni með þessu, ef og þegar meinfýsnir aðilar vopnavæða forritið. Það er bara tímaspursmál.“

Frétt af mbl.is

Vara við veikleika og virkja samhæfingarstöð

Theódór Ragnar Gíslason.

Mikilvægt að bregðast við

Theódór segir mikilvægt að fyrirtæki athugi hversu berskjölduð þau eru fyrir veikleikanum, uppfæri hugbúnað í viðeigandi tilfellum og virki öryggis- og rekstarteymi. 

„Núna er tækifæri fyrir fyrirtæki og stofnanir til að bregðast við; athuga hversu berskjölduð þau eru gagnvart þessum veikleikum. Ef það er ekki gert geta þau veru hökkuð fljótlega,“ segir Theódór og bætir við;

„Það er mikilvægt að skilja að þetta er ekki bara einn staður sem þarf að laga, það þarf að uppfæra öll kerfi sem nota þennan veikleika. Ef þú hugar ekki að þessu áttu að öllum líkindum eftir að enda í tjóni.“

Öryggisteymin á milljón

Theódór segir að veikleikinn hafi víðtæk áhrif um heim allan;

„Í gær varð strax ljóst að nánast öll stærstu tæknifyrirtæki í heimi væru með þessa veikleika og að það hafi verið hægt að brjótast inn í þau. Öryggisteymin hjá þessum fyrirtækjum um allan heim hafa verið á milljón að reyna að laga þennan veikleika, það er ekki auðvelt mál.“

Þurfa einstaklingar að bregðast sérstaklega við þessu?

„Það er ekki tímabært. Fyrst þurfum við að hugsa um gögnin okkar, þau eru í miðlægum kerfum í net- og rekstarinnviðum um allan heim. Árásirnar byrja á fyrirtæki því þar er yfirleitt peninga að hafa. En það eru kerfi á heimilum fólks sem þetta bitnar á, en það er annar árásarflötur,“ segir Theódór. 

Tengdar fréttir

Log4j veikleikinn

Óvissustigi vegna Log4j aflétt

• Bjóða lausn á Log4j veikleikanum frítt
• Nýir veikleikar uppgötvuðust um helgina
• Afleiðingar innbrota vegna Log4j margvíslegar
• Óvissustig endurskoðað á mánudag

» Fleiri tengdar fréttir

• Blogga um frétt