Öryggisfyrirtækið Syndis hvetur fyrirtæki og stofnanir á Íslandi til þess að fara yfir hugbúnað sinn og kanna hversu berskjölduð þau eru fyrir veikleika sem uppgötvaðist 9. desember.
Um er að ræða veikleika í kóðasafni sem nefnist “log4j”.
Veikleikanum hefur verið úthlutað auðkennisnúmerinu CVE-2021-44228 og fengið einkunnina 10 samkvæmt CVE, sem er gagnagrunnur sem heldur utan um veikleika og áætlar hve hættulegir þeir eru, að því er segir í viðvöruninni.
„Veikleikinn er í hugbúnaði sem flest kerfin sem við notum í stafrænu umhverfi er byggður á, á bakvið tjöldin. Stór hluti innviða er smíðaður í þessu forritunarmáli sem heitir Java, og í því er kóðaviðbót sem nefnist “log4j” – hún er mjög algeng og mikið notuð og þessi útgáfa af henni er með þennan öryggisveikleika,“ segir Theódór R. Gíslason tæknistjóri Syndis í samtali við mbl.is.
„Það er mjög auðvelt að misnota hann. Það er varla hægt að finna fyrirtæki eða stofnun á Íslandi sem er ekki að nota þennan hugbúnað, hvort sem þau vita það eða ekki,“ bætir hann við.
„Af því að þetta keyrir á viðkvæmri staðsetningu, þá ef þú misnotar svona veikleika þá ertu kominn á hjartastað í svona rafrænum kerfum og með fullan aðgang í raun. Það er hægt að valda stórkostlegu tjóni með þessu, ef og þegar meinfýsnir aðilar vopnavæða forritið. Það er bara tímaspursmál.“
Theódór segir mikilvægt að fyrirtæki athugi hversu berskjölduð þau eru fyrir veikleikanum, uppfæri hugbúnað í viðeigandi tilfellum og virki öryggis- og rekstarteymi.
„Núna er tækifæri fyrir fyrirtæki og stofnanir til að bregðast við; athuga hversu berskjölduð þau eru gagnvart þessum veikleikum. Ef það er ekki gert geta þau veru hökkuð fljótlega,“ segir Theódór og bætir við;
„Það er mikilvægt að skilja að þetta er ekki bara einn staður sem þarf að laga, það þarf að uppfæra öll kerfi sem nota þennan veikleika. Ef þú hugar ekki að þessu áttu að öllum líkindum eftir að enda í tjóni.“
Theódór segir að veikleikinn hafi víðtæk áhrif um heim allan;
„Í gær varð strax ljóst að nánast öll stærstu tæknifyrirtæki í heimi væru með þessa veikleika og að það hafi verið hægt að brjótast inn í þau. Öryggisteymin hjá þessum fyrirtækjum um allan heim hafa verið á milljón að reyna að laga þennan veikleika, það er ekki auðvelt mál.“
Þurfa einstaklingar að bregðast sérstaklega við þessu?
„Það er ekki tímabært. Fyrst þurfum við að hugsa um gögnin okkar, þau eru í miðlægum kerfum í net- og rekstarinnviðum um allan heim. Árásirnar byrja á fyrirtæki því þar er yfirleitt peninga að hafa. En það eru kerfi á heimilum fólks sem þetta bitnar á, en það er annar árásarflötur,“ segir Theódór.