Kluczowe dania na wynos
- Tysiące serwerów i usług online są nadal narażone na niebezpieczną i łatwą do wykorzystania lukę loj4j, znajdź badaczy.
- Podczas gdy głównymi zagrożeniami są same serwery, narażone serwery mogą również narażać użytkowników końcowych na ryzyko, sugerują eksperci ds. cyberbezpieczeństwa.
- Niestety, większość użytkowników niewiele może zrobić, aby rozwiązać problem, poza przestrzeganiem najlepszych praktyk bezpieczeństwa pulpitu.
Niebezpieczna luka log4J odmawia śmierci, nawet kilka miesięcy po udostępnieniu poprawki dla łatwego do wykorzystania błędu.
Analitycy cyberbezpieczeństwa z Rezilion odkryli niedawno ponad 90 000 podatnych na ataki aplikacji internetowych, w tym ponad 68 000 potencjalnie podatnych serwerów Minecraft, których administratorzy nie zastosowali jeszcze łat bezpieczeństwa, narażając ich i ich użytkowników na cyberataki. I niewiele możesz z tym zrobić.
„Niestety, log4j będzie prześladować nas użytkowników Internetu przez dłuższy czas” – powiedział Lifewire Harman Singh, dyrektor w firmie Cyphere świadczącej usługi cyberbezpieczeństwa. „Ponieważ ten problem jest wykorzystywany po stronie serwera, [ludzie] nie mogą wiele zrobić, aby uniknąć wpływu włamania na serwer”.
Nawiedzenie
Luka, nazwana Log4 Shell, została po raz pierwszy szczegółowo opisana w grudniu 2021 roku. poważne, jakie widziałem w całej mojej karierze, jeśli nie najpoważniejsze.„
Podczas wymiany e-maili z Lifewire, Pete Hay, kierownik ds. instrukcji w firmie SimSpace zajmującej się testowaniem cyberbezpieczeństwa i szkoleniami, powiedział, że zakres problemu można ocenić na podstawie kompilacji podatnych na ataki usług i aplikacji popularnych dostawców, takich jak Apple, Steam, Twitter, Amazon, LinkedIn, Tesla i dziesiątki innych. Nic dziwnego, że społeczność cyberbezpieczeństwa zareagowała z pełną mocą, a Apache niemal natychmiast opublikował łatkę.
Dzielając się swoimi odkryciami, badacze Rezilion mieli nadzieję, że większość, jeśli nie wszystkie, podatne serwery zostałyby załatane, biorąc pod uwagę ogromną ilość relacji medialnych wokół błędu. „Myliliśmy się” – piszą zdziwieni badacze. "Niestety, rzeczy są dalekie od ideału, a wiele aplikacji podatnych na Log4 Shell nadal istnieje na wolności."
Naukowcy znaleźli zagrożone instancje za pomocą wyszukiwarki Internetu rzeczy (IoT) Shodan i uważają, że wyniki to tylko wierzchołek góry lodowej. Rzeczywista podatna powierzchnia ataku jest znacznie większa.
Czy jesteś zagrożony?
Pomimo dość znacznej odsłoniętej powierzchni ataku, Hay wierzył, że są dobre wieści dla przeciętnego użytkownika domowego. „Większość z tych [Log4J] luk znajduje się na serwerach aplikacji i dlatego jest bardzo mało prawdopodobne, aby wpłynęły na komputer domowy” - powiedział Hay.
Jednak Jack Marsal, starszy dyrektor ds. marketingu produktów w firmie WhiteSource, dostawcy cyberbezpieczeństwa, zwrócił uwagę, że ludzie cały czas wchodzą w interakcję z aplikacjami w Internecie, od zakupów online po granie w gry online, narażając je na wtórne ataki. Zaatakowany serwer może potencjalnie ujawnić wszystkie informacje, które dostawca usług posiada na temat ich użytkownika.
„Nie ma możliwości, aby dana osoba była pewna, że serwery aplikacji, z którymi wchodzi w interakcję, nie są podatne na atak” – ostrzegł Marsal. "Widoczność po prostu nie istnieje."
Niestety, rzeczy są dalekie od ideału, a wiele aplikacji podatnych na Log4 Shell nadal istnieje na wolności.
Z pozytywnym akcentem, Singh zwrócił uwagę, że niektórzy dostawcy ułatwili użytkownikom domowym rozwiązanie problemu luki w zabezpieczeniach. Na przykład, wskazując na oficjalne zawiadomienie o grze Minecraft, powiedział, że ludzie, którzy grają w wersję Java gry, muszą po prostu zamknąć wszystkie uruchomione instancje gry i ponownie uruchomić program uruchamiający Minecraft, który automatycznie pobierze załataną wersję.
Proces jest nieco bardziej skomplikowany i zaangażowany, jeśli nie masz pewności, jakie aplikacje Java używasz na swoim komputerze. Hay zasugerował wyszukanie plików z rozszerzeniami.jar,.ear lub.war. Dodał jednak, że sama obecność tych plików nie wystarcza do ustalenia, czy są one narażone na lukę log4j.
Zasugerował, aby ludzie używali skryptów opublikowanych przez zespół ds. gotowości na wypadek awarii komputerowych (CERT) z Uniwersytetu Carnegie Mellon (CMU) Software Engineering Institute (SEI) do przeszukania swoich komputerów w poszukiwaniu luki w zabezpieczeniach. Skrypty nie są jednak graficzne, a korzystanie z nich wymaga przejścia do wiersza poleceń.
Biorąc to wszystko pod uwagę, Marsal wierzył, że w dzisiejszym połączonym świecie każdy powinien dołożyć wszelkich starań, aby zachować bezpieczeństwo. Singh zgodził się i poradził ludziom, aby postępowali zgodnie z podstawowymi praktykami bezpieczeństwa komputerów stacjonarnych, aby pozostać na szczycie wszelkiej złośliwej aktywności utrwalanej przez wykorzystanie luki.
„[Ludzie] mogą upewnić się, że ich systemy i urządzenia są zaktualizowane, a zabezpieczenia punktów końcowych są na swoim miejscu”, zasugerował Singh. „Pomogłoby im to w ostrzeżeniu o oszustwach i zapobieganiu wszelkim skutkami dzikiej eksploatacji”.