»Internettet brænder«: Sikkerhedsbrist i udbredt software kan ramme millioner af virksomheder

»Ultrakritisk.«

Peter Kruse, partner i it-sikkerhedsfirmaet CSIS, tøver ikke med at finde de alvorlige gloser frem, når han taler om en nyopdaget sikkerhedsbrist, der kan ramme både private computere og millioner af virksomheder verden over.

»Der er ingen tvivl om, at de cyberkriminelle slikker sig om munden lige nu og forsøger at skynde sig at udnytte det her hul, så længe de har muligheden,« siger Peter Kruse.

Også internationale eksperter er bekymrede og vurderer, at der kan være tale om den værste sikkerhedsbrist på nettet i årevis.

Fra officielt amerikansk hold advares nu også mod den store sikkerhedsbrist som amerikanske virksomheder risikerer at står over for.

»Denne sikkerhedsbrist er en af de mest alvorlige, jeg har set i hele min karriere, hvis ikke den mest alvorlige,« siger Jen Easterly, direktør for US Cybersecurity and Infrastructure Security Agency (CISA) til CNN.

Adam Meyers, der er såkaldt senior vice president i cybersikkerhedsfirmaet Crowdstrike, siger ifølge nyhedsbureauet AP, at »internettet brænder lige nu«.

Joe Sullivan, sikkerhedsansvarlig i et andet firma, Cloudfare, har svært ved at komme i tanke om et firma, der ikke vil være udsat for sårbarheden.

Og topchefen i it-sikkerhedsvirksomheden Tenable, Amit Yoran, påpeger over for AP, at der er tale om den største og »mest kritiske sårbarhed inden for det seneste årti« – muligvis endda i hele den moderne it-historie.

Sikkerhedsbristen er blevet døbt ”Log4Shell”. Kort fortalt er fejlen blevet opdaget i et logningssystem, som håndteres af firmaet Apache, og som ifølge Peter Kruse bliver benyttet af en lang række virksomheder og myndigheder verden over. Hullet i cyberskjoldet blev offentligt kendt torsdag, og siden er der foregået et kapløb mellem hackere, der vil udnytte sårbarheden, og de personer, der er ansvarlige for at få installeret en vigtig sikkerhedsopdatering, som kan lukke hullet.

Ifølge it-sikkerhedseksperten Marcus Hutchins har spiltjenesten Steam, Apples iCloud og spillet Minecraft allerede vist sig sårbare over for bristen. I Minecraft kan it-mørkemænd tilsyneladende blot kopiere en tekst ind i chatmodulet og derved åbne for adgang til at udnytte hullet. Hutchins kalder på Twitter problemet »ekstremt skidt«.

Også myndigheder verden over advarer mod sikkerhedsbristen. Fredag udsendte Norges nationale cybersikkerhedscenter (NSM) således et varsel om den »meget alvorlige sårbarhed« i logningsværktøjet.

»Sårbarheden er enkel at udnytte og vil give angriberne fuld kontrol over berørte systemer,« skriver cybermyndigheden, der også hæfter sig ved, at Apache-softwaren er et tredjepartsprodukt, hvilket gør, at virksomheder ikke nødvendigvis er klar over, at de er eksponeret over for sårbarheden.

Dette hæfter Peter Kruse fra CSIS sig også ved. Når der er tale om et tredjepartsprodukt, betyder det nemlig, at ansvaret for at sikkerhedsopdatere typisk også ligger hos den tredjepart, der leverer den aktuelle service. Det komplicerer processen med at få udrullet de sikkerhedsopdateringer, som ellers ligger klar.

»Når man har et tredjepartsprodukt, tager det tid at få lavet opdateringerne. Det tager tid at få det testet og få det implementeret på den rigtige måde, så man ikke risikerer at ødelægge andre dele af systemet med sin opdatering,« forklarer Peter Kruse.

Hans eget firma har allerede udsendt en sikkerhedsadvarsel til sine kunder, og på den skala fra 1 til 10, man bruger på tværs af branchen, bliver bristen betegnet som en 10’er.

»Jeg hader lidt at tale om bål og brand, men når man taler om en ren 10’er på sårbarhedsskalaen, er der virkelig tale om en ultrakritisk sårbarhed,« siger Peter Kruse.

Han forventer, at det primært er virksomheder, som hackerne vil gå efter, så de efterfølgende kan forsøge at presse penge ud af dem ved eksempelvis at låse firmaernes adgang til egne servere eller true med at offentliggøre følsomme data. Men også private vil være udsat.

»Der findes Apache-software stort set over alt, hvor der er adgang til internettet,« siger Peter Kruse.

Det er endnu uvist, om nogen danske virksomheder er blevet ramt.