Departament bezpieczeństwa krajowego Stanów Zjednoczonych (DHS) opublikował niedawno raport, który opisuje to, co agencja określa jako "endemiczną lukę" w oprogramowaniu używanym przez rządy i firmy na całym świecie.
Chociaż raport został opublikowany przez DHS, jest on dziełem Cyber Safety Review Board, rządowej komisji ds. przeglądu bezpieczeństwa cybernetycznego utworzonej na mocy rozporządzenia prezydenta Joe Bidena z lutego. Komisja została utworzona w odpowiedzi na eksplozję cyberprzestępczości w ciągu ostatnich kilku lat, zwłaszcza ataków ransomware. To osławione złośliwe oprogramowanie nękało konsumentów na całym świecie, zagrażało informatycznym bazom danych w szpitalach i szkołach oraz uderzało w firmy, od Colonial Pipeline Company po Ferrara Candy Company.
"W tym krytycznym momencie dla cyberbezpieczeństwa naszego narodu, kiedy nasza zdolność do radzenia sobie z ryzykiem nie nadąża za postępem w przestrzeni cyfrowej, Cyber Safety Review Board jest nową i transformacyjną instytucją, która zwiększy naszą odporność cybernetyczną w bezprecedensowy sposób", powiedział sekretarz DHS Alejandro N. Mayorkas. "Pierwszy w swoim rodzaju przegląd CSRB dostarczył nam - zarówno rządowi, jak i przemysłowi - jasnych, możliwych do zastosowania zaleceń, które DHS pomoże wdrożyć, aby wzmocnić naszą odporność cybernetyczną i rozwinąć partnerstwo publiczno-prywatne, które jest tak istotne dla naszego wspólnego bezpieczeństwa".
Zgodnie z raportem CSRB, wiele przypadków ataków ransomware prawdopodobnie wystąpiło w wyniku krytycznej luki w Log4J, kawałku otwartego oprogramowania stworzonego przez Apache Software Foundation. Log4J jest tak zwanym oprogramowaniem "logującym"; jego celem jest dokumentowanie zdarzeń (zazwyczaj w pliku tekstowym), które mają miejsce w systemie operacyjnym komputera lub podczas uruchamiania programu.
Luka w programie (nazwana "Log4Shell" przez LunaSec), która według niektórych ekspertów jest najpoważniejszą luką w zabezpieczeniach cyfrowych do tej pory, dała hakerom możliwość zrobienia tego, co jest znane jako "wykonanie dowolnego kodu". W istocie, hakerzy są w stanie łatwo wykorzystać luki w kodzie Log4J, aby wstrzyknąć i uruchomić własny złośliwy kod.
Chociaż CSRB przedstawiła długą listę zaleceń i zamierza współpracować z ekspertami branżowymi przy rozwiązywaniu problemów dotyczących cyberbezpieczeństwa w USA, komisja ostrzegła, że luka może dotyczyć niezliczonych urządzeń już teraz, a jej usunięcie może zająć lata. Według analizy przeprowadzonej przez Ernst & Young i firmę Wiz zajmującą się bezpieczeństwem w chmurze, 93% platform chmurowych przedsiębiorstw było podatnych na lukę krótko po tym, jak została ona ujawniona przez Apache Software Foundation w zeszłym roku. Raport CSRB zauważa, że "wiele organizacji wciąż nie załatało w pełni wady w Log4j".
Raport nakreślił kluczowe błędy w naturze wykorzystania oprogramowania open source w przemyśle amerykańskim, podkreślając nadmierne poleganie na dobrze ugruntowanych firmach, takich jak Apache Software Foundation. Ponadto w raporcie komisja zwraca uwagę na to, że w przeciwieństwie do konwencjonalnych przedsiębiorstw, ASF i inne grupy prowadzące projekty open source nie śledzą, kto używa ich produktów, ani nie próbują zarządzać dostępem.
"Komisja znalazła również specyficzne wyzwania związane z utrzymaniem projektów open source, takich jak Log4j, które zazwyczaj opierają się na zespołach wolontariuszy i niekoniecznie posiadają dedykowane zasoby bezpieczeństwa w całym cyklu rozwoju oprogramowania" - zauważa CSRB w swoim raporcie. "Projekty open source zazwyczaj nie mają dedykowanych, skoordynowanych zespołów zajmujących się ujawnianiem i reagowaniem na luki w zabezpieczeniach, które badają pierwotne przyczyny zgłoszonych luk i pracują nad ich usunięciem".