När stora teknikföretag kämpar för att begränsa följderna av incidenten har amerikanska tjänstemän ringt industrichefer för att varna dem för att hackare aktivt utnyttjar sårbarheten.
“Denna sårbarhet är en av de allvarligaste, om inte den allvarligaste, i hela min karriär”, sa Jane Easterly, chef för US Cyber Security and Infrastructure Security Agency (CISA), i ett telefonsamtal. Delas med CNN. , Stora finansiella företag och sjukvårdsledare deltog i genomgången per telefon.
“Vi förväntar oss att sårbarheten kommer att utnyttjas brett av sofistikerade aktörer och vi har lite tid på oss att vidta nödvändiga åtgärder för att minska risken för skadliga incidenter,” sa Easterly.
CNN har kontaktat CISA för att kommentera samtalet. CyberScoop, en teknisk nyhetssajt, rapporterade först innehållet i samtalet.
Det är den tydligaste varningen från amerikanska tjänstemän om mjukvarufelet sedan det tillkännagavs i slutet av förra veckan att hackare försökte bryta sig in i organisationers datornätverk. Det är också ett test av nya kanaler för federala tjänstemän att arbeta med industriledare efter de utbredda hackningarna av SolarWinds och Microsofts mjukvara som dök upp förra året.
Experter sa till CNN att det kan ta veckor att åtgärda sårbarheterna och att misstänkta kinesiska hackare redan försökte dra nytta av det.
Sårbarheten finns i Java-baserad programvara känd som “Log4j”, som används av stora organisationer, inklusive några av världens största teknikföretag, för att logga information för sina applikationer. Teknikjättar som Amazon Web Services och IBM har beslutat att fixa buggar i sina produkter.
Det är ett relativt enkelt sätt för en hackare att få tillgång till en organisations datorservrar. Därifrån kan en angripare utveckla andra sätt att få tillgång till system på en organisations nätverk.
Apache Software Foundation, som hanterar programvaran Log4j, har släppt en säkerhetskorrigering som organisationer kan tillämpa.
kapplöpning mot tiden för att åtgärda felet
Men enligt cybersäkerhetsföretaget hade angripare mer än en vecka på sig att utnyttja mjukvarufelet innan det offentliggjordes. Cloudflare.
Organisationer är nu i en kapplöpning mot tiden för att se om de har datorer som kör sårbar programvara exponerad för Internet. Cybersäkerhetstjänstemän från regeringen och industrin arbetar outtröttligt med denna fråga.
“Vi måste se till att vi har en uthållig ansträngning för att förstå riskerna med denna kod i USA:s kritiska infrastruktur,” sa Jay Gazelle, en annan CISA-tjänsteman, under telefonsamtalet.
Enligt Charles Carmacle, senior vice president och chief technology officer på cybersäkerhetsföretaget Mandiant, har hackare anslutna till den kinesiska regeringen redan börjat använda sårbarheten. Mandient avböjde att säga vilka organisationer hackarna riktade sig mot.
Ransomware-attack drabbar lagstiftaren i Virginia
“Vad som helst kan göra en jäkla grej över tiden,” sa Mandiants vd Kevin Mandia till CNN, med hänvisning till sårbarheten. “Det är problemet. Och kanske kommer någon stor hackare att gömma sig i bruset från de mindre goda.”
“Noise” är ett verkligt problem. För cybersäkerhetsproffs har Twitter varit en ständig källa till användbar information och, i vissa fall, felaktig information som inte är relaterad till sårbarheten.
För att lösa problemet sa CISA att de skulle skapa en offentlig webbplats med information om mjukvaruprodukter som påverkas av sårbarheten och de tekniker som hackare använder för att utnyttja den.
“Det här kommer att vara en flerveckorsprocess där nya aktörer utnyttjar sårbarheten”, sa Eric Goldstein, CISA:s verkställande biträdande chef för cybersäkerhet, i ett telefonsamtal.
Utbredningen av programvaran har tvingat cybersäkerhetsproffs över hela landet att tillbringa helger med att kontrollera sina system för sårbarheter.
“För större delen av IT-världen var det ingen helg”, säger Rick Holland, informationssäkerhetschef på cybersäkerhetsföretaget Digital Shadows, till CNN. “Det var ännu en lång rad dagar.”
CNN:s Geneva Sands bidrog med rapportering.