KRITISK: En sårbarhet i et Java-program er allerede blitt utnyttet i Minecraft. Datasikkerhetseksperter sier det er snakk om en av de største og mest kritiske feilene som er oppdaget. (Foto: Damian Dovarganes / AP / NTB)

Dataeksperter verden rundt kjemper for å tette gigantisk sikkerhetshull

En kritisk sårbarhet i et populært programvareverktøy kalles en av de største sikkerhetstruslene på flere år. Det jobbes på spreng for å løse problemet.

– Internett står i brann akkurat nå, sier Adam Myers i datasikkerhetsselskapet Crowdstrike. Sårbarheten, som er døpt «Log4Shell», rangeres til ti av ti på skalaen til Apache Software Foundation, som håndterer programvaren.

– Folk jobber på spreng for å fikse feilen, mens andre jobber for å utnytte den, sier Meyers. Han sier at datakriminelle allerede har utviklet og distribuert verktøy som kan utnytte sårbarheten.

Feilen ble oppdaget i et javabasert loggsystem som er basert på åpen kildekode. Verktøyet er i varierende grad i bruk i skytjenester og andre tjenester brukt av virksomheter og myndigheter verden rundt.

Fram til det er blitt fikset, vil sårbarheten gjøre at datakriminelle, spioner og andre lett får tilgang til interne nettverk. Der kan de hente ut verdifulle data, plassere skadelig programvare, slette informasjon og mye annet.

– Det er vanskelig å komme på et selskap som ikke er truet av dette, sier Joe Sullivan, datasikkerhetssjef i Cloudflare.

Millioner av servere

Flere millioner servere har verktøyet installert og eksperter sier det vil ta flere dager før vi får se hvor stor skade feilen har gjort.

– Det er den største og mest kritiske enkeltstående sårbarheten som er oppdaget det siste tiåret, sier Amit Yoran, direktør i datasikkerhetsselskapet Tenable.

Det er den største og mest kritiske enkeltstående sårbarheten som er oppdaget det siste tiåret.

Han sier det trolig er den største sårbarheten i moderne datahistorie.

Det som gjør feilen så stor, er hvor lett det er å utnytte den til å få tilgang, sier ekspertene. Ingen passord kreves.

New Zealands datasikkerhetsbyrå var blant de første til å oppdage feilen, og varsler at den ble aktivt utnyttet bare timer etter at den først ble kjent.

Nasjonal sikkerhetsmyndighet advarer

Også i Norge har Nasjonal sikkerhetsmyndighet gått ut med en kraftig advarsel.

Sårbarheten er i det Java-baserte loggverktøyet Apache Log4j, som brukes av mange Java-baserte applikasjoner og tjenester, skriver NSM Nasjonalt cybersikkerhetssenter i en pressemelding.

– Berørte virksomheter bør iverksette tiltak umiddelbart, lyder oppfordringen.

Ved 21.30-tiden fredag kveld var det ikke rapportert om vellykket utnyttelse i Norge, men NSM har observert utnyttelsesforsøk mot en rekke virksomheter.

Sårbarheten ble offentlig kjent 9. desember og utnyttelseskode for sårbarheten ble publisert samme dag. Ifølge NSM er det ofte at det kan gå svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den.

Utnyttet i Minecraft

De første tydelige tegnene på at sårbarheten ble utnyttet, ble sett i det populære spillet Minecraft. Flere spillere utnytter feilen til å sette i gang programmer på maskinene til andre spillere ved å skrive inn en kort melding i en chatteboks.

Microsoft opplyser at de har sluppet en oppdatering for Minecraft og at spillere som installerer den er trygge.

Feilen er også å finne i servere brukt av selskaper som Apple, Amazon, Twitter og Cloudfare.