Log4j-fel: bugg- och prisjakt är igång!

Log4j

För att hitta sårbarheter i deras Log4j-specifika programvara förlitar sig många företag på buggprisjägare eller etiska hackare.

Mer än 10 dagar nu efter att Apache rapporterade ett högkritiskt säkerhetsbrist i log4j-loggningsmjukvarukomponenten, kallad Log4Shell, kämpar företag på för att förhindra skador, och vissa har till och med accelererat eller lanserat sina buggar, för att identifiera eventuella sårbarheter i deras programvara. Och det gör lyckan för etiska hackare, som inte bett om så mycket.

Gör allt för att snabbt förhindra utnyttjandet av Log4j-felet

Vissa företag har beslutat att sätta alla medel till sitt förfogande för att hitta brister i sin programvara. Det måste sägas att Log4j-sårbarheten kan vara särskilt skadlig. Det finns i ett stort antal informationssystem som använder Java-språket och kan leda till att en cyberbrottsling tar fjärrkontroll över en riktad applikation, och kan till och med leda till att han tar kontroll över hela informationssystemet.

Vi vet nu, och detta har bekräftats av National Information Systems Security Agency (ANSSI), att felet aktivt utnyttjas av hackare, med uppenbart illvilliga avsikter. Det ligger därför i företagens intresse att genomföra brådskande säkerhetsuppdateringar (Apache har precis distribuerat en patch) och att kontrollera eller till och med få sina potentiellt sårbara applikationer kontrollerade.

Enligt vår information har olika företag redan lanserat bug-bounty – det som traditionellt kallas Bug Bounty – för att sätta hackare, etiskt den här gången, i hälarna på brister i deras mjukvara.

Etiska hackare tävlar för att upptäcka sårbarheter och tjäna buggpremier

En av ledarna inom global etisk hacking, HackerOne, förklarar för oss på måndagen att de senaste dagarna har varit särskilt upptagna för dess etiska hackare. Flera av dess högprofilerade kunder, som jobbsajten Glassdoor och den berömda hotellkedjan Hyatt, har lanserat initiativ specifika för Log4j, så att hackare arbetar för att identifiera brister i deras olika mjukvara och applikationer.

På HackerOnes sida har nästan $150 000 i bugg-pengar redan betalats ut till dess etiska hackare, med dussintals ingripanden på dygnet. Mer än 400 hackare gick med på att arbeta med företagen, för en genomsnittlig prispeng på $1 714.

Glassdoor, till exempel, har gått med på att betala dubbla sin kritiska bonus, det vill säga upp till 5 000 euro, om en hackare lyckas hitta system som är sårbara för Log4Shell-felet som refereras till CVE-2021-44228; medan Hyatt har skapat en “superkritisk” kategori i sitt program med en pris på 25 000 $ om en etisk hackare lyckas exekvera kod på distans. Videokonferensjätten Zoom har betalat $45 000 i bonusar, och kryptoplattformen Coinbase erbjuder för närvarande en $30 000 bonus till alla specialister som visar att företaget är sårbart.


Relaterade Artiklar

Back to top button