חולשה מסוכנת בכלי תוכנה נפוץ, אותה ניתן לנצל בקלות במשחק הרשת 'מיינקראפטק', מתגלה שאיום ממשי על ארגונים וחברות ברחבי העולם. חוקרי סייבר דיווחו שמצאו ראיות לכך שהחולשה נוצלה כבר בשרתים של חברות אפל, אמזון וטוויטר שלא הגיבו לידיעה.
"האינטרנט בוער עכשיו", אמר אדם מאיירס, סגן נשיא בכיר למודיעין בחברת אבטחת הסייבר 'קלאודסטרייק'. "אנשים מנסים למצוא דרך לתקן את זה", הוא הוסיף, "וכל מיני אנשים מנסים למצוא דרך לתקן את זה".
ביום שישי בבוקר אמר מאיירס שב-12 השעות מאז התפרסם שהחולשה קיימת יש כבר מי שפיתח והפיץ כלים לניצולה.
החולשה עלולה להתגלות כפרצת האבטחה החמורה ביותר שהתגלתה בשנים האחרונות. היא התגלתה בכלי תוכנה שנמצא כמעט בכל שרתי הענן ובתוכנות ייעודיות בהן נעשה שימוש במספר רב של ענפי תעשייה וסוכנויות ממשלתיות.
אם היא לא תתוקן, היא עלולה לתת לפושעים, מרגלים ואפילו מתכנתים מתחילים גישה למערכות פנים ארגוניות בהן הם יוכלו בין היתר לגנוב מידע, לשתול תוכנות מזיקות ולמחוק מידע חשוב.
"אני מתקשה לחשוב על חברה שלא נמצאת בסיכון", אמרג'ו סאליבן, קצין אבטחה ראשי ב'קלאודפלייר', שהתשתית המקוונת שלה מגינה על אתרים מהתקפות סייבר והכחישה שהשרתים שלה כבר נפרצו בגלל חולשה. כלי התוכנה מותקן על מיליוני שרתים, ועל פי מומחים ההשלכות של פרצת האבטחה יתבררו רק בימים הקרובים.
עמית יורן, מנכ"ל חברת אבטחת הסייבר 'טנאבל', כינה את הפרצה "החולשה גדולה ביותר, והקריטית ביותר בעשור האחרון", ואולי הגדולה בהיסטוריה המודרנית של המחשוב. לדבריו, כל הארגונים צריכים לצאת מתוך נקודת ההנחה שמישהו כבר פרץ אליהם ולפעול במהירות.
החולשה, שמכונה log4j2 , דורגה 10 מתוך 10 על ידי קרן התוכנה אפאצ'י, שמפקחת על פיתוח תוכנות. כל אחד יכול שמעוניין יכול להשיג בעזרת הפרצה גישה מלאה לכל מחשב שמשתמש בתוכנה ועדיין לא התקין את עדכון האבטחה הדרוש.
לדברי מומחי סייבר, הקלות הקיצונית בה ניתן להשתמש בחולשה כדי להיכנס לשרת של חברה בלי צורך אפילו בסיסמה, הופכת אותה למסוכנת מאוד.
צוות החירום לבעיות אבטחת סייבר של ממשלת ניו זילנד היה בין הראשונים לדווח שהתקלה "מנוצלת באופן אקטיבי ברחבי העולם", שעות ספורות בלבד אחרי הפרסום על קיומה והפצת עדכון אבטחה לטיפול בבעיה.
לטענת ענקית הטכנולוגיה הסינית 'עליבאבא' היא דיווחה לקרן על החולשה, שנמצאה בתוכנת אפאצ'י שמשמשת להפעלת אתרים ושירותי רשת אחרים, ב-24 בנובמבר. פיתוח העדכון לתיקון הבעיה לקח שבועיים.
אבל התקנת עדכון האבטחה על מערכות מחשב מסביב לעולם עשויה להתגלות כמשימה מסובכת. למרות שרוב הארגונים וספקיות אחסון בענן כמו אמזון אמורות להצליח לעדכן בקלות את שרתי הרשת שלהם, תוכנת האפאצ'י מוטמעת גם בתוכנות צד שלישי, שלעיתים קרובות רק בעליהן יכולים לעדכן.
הסימן הברור הראשון לניצול החולשה הופיע ב'מיינקראפט', משחק רשת פופולרי מאוד בקרב ילדים בבעלות מיקרוסופט. מאיירס ומומחה האבטחה מרקוס האצי'נס אמרו שמשתמשי 'מיינקראפט' כבר השתמשו בחולשה כדי להפעיל תוכנות על מחשבים שך משתמשים אחרים בעזרת פרסום הודעה קצרה בתיבת הצ'אט.
מיקרוסופט הודיעה שפרסמה עדכון תוכנה למשתמשי המשחר. לפי ההודעה "לקוחות שיעדכנו את התוכנה יהיו מוגנים".
