Декілька федеральних агентств і відомств Німеччини постраждали від серйозної вразливості в популярній бібліотеці запису комп'ютерної інформації Log4j для низки додатків та серверів на основі Java. Це випливає із звіту Федерального відомства Німеччини з безпеки у сфері інформаційної техніки (BSI). Уривки з доповіді оприлюднив у неділю, 12 грудня, тижневик Der Spiegel.

"У ситуації з цією поширеною вразливістю постраждала і федеральна адміністрація", - зазначено у документі. BSI поінформоване про те, що сталося, нині вживають необхідних захисних заходів. У низці випадків проблему вже усунуто. За даними Der Spiegel, поки що немає ознак того, що вразливістю могли скористатися кіберзлочинці.

Рівень загрози підвищено до максимального

У суботу, 11 грудня, BSI у зв'язку з виявленою проблемою підвищило рівень загрози з помаранчевого до максимального червоного. Вразливість змушує програми та сервери на основі Java фіксувати певний рядок у своїх внутрішніх системах. Коли програма або сервер обробляють такі записи, рядок може змусити вразливу систему завантажити та запустити шкідливий скрипт із домену, контрольованого зловмисниками. В результаті вразлива програма або сервер можуть повністю перейти під контроль кіберзлочинців.

Атакувати можливо не лише комп'ютерні системи

Експерти застерігають, що на ризик наражаються не тільки комп'ютерні системи. Атакувати можливо також QR-сканер або безконтактний замок дверей, якщо вони використовують Java і Log4j, зазначили в американській компанії Cloudflare.

Розробники Apache Software Foundation, які відповідають за використання Log4j, вже провели роботу над тим, щоб усунути вразливість.

До виборів до Бундестагу 26 вересня глава BSI Арне Шенбом (Arne Schönbohm) попереджав про збільшення кількості кіберзагроз для систем у ФРН.

Читайте також: Цифровізація хаосу. Чому в Україні "течуть" персональні дані