Apache-patchen «Log4J 2.15.0» skulle tettete sikkerhetshullet «Log4Shell», men sikkerhetsfiksen inneholder to sårbarheter som kan utnyttes i cyberangrep. Det skriver Ars technica.
Apache anbefaler derfor å installere den nyeste versjonen av patchen, 2.16.0, så fort som mulig. Ferske tall fra Check point viser at selskapet har avverget 1.8 millioner angrep siden torsdag i forrige uke.
Alvorlige feil
De to sårbarhetene gjør det blant annet mulig å utføre et «denial-of-service» angrep - der hackerne kan ta den infiserte enhetene helt ned. Patchen inneholder også en «information disclosure»-feil som gjør at man også kan laste ned data fra infiserte enheter.
Det er sikkerhetsforsker Nathan Sportsman i sikkerhetsselskapet Praetorian som har funnet de to alvorlige sårbarhetene i sikkerhetsfiksene fra Apache.
– Vi har gitt tekniske data om problemene til Apache, men anbefaler at kundene oppgraderer til den aller nyeste versjonen, skriver Sportsman i et innlegg på sikkerhetsbloggen. Sikkerhetsforskeren går også igjennom sårbarhetene i en video.
Åpner for fjernkjøring av kode
Flere hundre produkter fra flere av de største programvareleverandørene er påvirket av sikkerhetshullet i Java-biblioteket.
NSM har bedt norske virksomheter som ikke har full oversikt over egne systemer om å stenge ned tjenester. Sårbarheten i det Java-baserte loggrammeverket åpner for fjernkjøring av vilkårlig kode.
– Svakheten kan brukes til å få kontroll på interne systemer. Kontrollen kan brukes til alt fra å utvinne kryptovaluta til å stjele data, sa sikkerhetsekspert Erling Schackt i Check point til digi.no på mandag og fortsatte:
– Har et system først blitt infisert, vil hackere prøve å få godt fotfeste i det. Deretter prøver de å tilegne seg flere rettigheter for å bevege seg internt i virksomheters nettverk. Alt som kan benyttes av hackere for å tjene penger, vil utnyttes.
