Atslēgas līdzņemšanai
- Tūkstošiem tiešsaistes serveru un pakalpojumu joprojām ir pakļauti bīstamai un viegli izmantojamai loj4j ievainojamībai, atklāj pētnieki.
- Lai gan primārie draudi ir paši serveri, atklātie serveri var apdraudēt arī galalietotājus, iesaka kiberdrošības eksperti.
- Diemžēl vairums lietotāju var darīt maz, lai atrisinātu problēmu, izņemot labāko darbvirsmas drošības praksi.
Bīstamā log4J ievainojamība atsakās izzust pat vairākus mēnešus pēc tam, kad bija pieejams viegli izmantojamās kļūdas labojums.
Rezilion kiberdrošības pētnieki nesen atklāja vairāk nekā 90 000 neaizsargātu interneta lietojumprogrammu, tostarp vairāk nekā 68 000 potenciāli ievainojamu Minecraft serveru, kuru administratori vēl nav lietojuši drošības ielāpus, pakļaujot tos un to lietotājus kiberuzbrukumiem. Un jūs maz varat darīt lietas labā.
"Diemžēl log4j kādu laiku vajā mūs interneta lietotājus," e-pastā Lifewire sacīja Harmans Sings, kiberdrošības pakalpojumu sniedzēja Cyphere direktors. "Tā kā šī problēma tiek izmantota no servera puses, [cilvēki] nevar darīt daudz, lai izvairītos no servera uzlaušanas."
The Haunting
Ievainojamība, kas nodēvēta par Log4 Shell, pirmo reizi tika detalizēti aprakstīta 2021. gada decembrī. Toreizējā telefona instruktāžā ASV Kiberdrošības un infrastruktūras drošības aģentūras (CISA) direktore Džena Īsterija ievainojamību raksturoja kā "vienu no visspēcīgākajām". nopietns, ko esmu redzējis visā savā karjerā, ja ne pats nopietnākais."
E-pasta apmaiņā ar Lifewire Pīts Hejs, kiberdrošības testēšanas un apmācības uzņēmuma SimSpace mācību vadītājs, sacīja, ka problēmas apmēru var noteikt, apkopojot neaizsargātus pakalpojumus un lietojumprogrammas no populāriem pārdevējiem, piemēram, Apple, Steam., Twitter, Amazon, LinkedIn, Tesla un desmitiem citu. Nav pārsteidzoši, ka kiberdrošības kopiena reaģēja ar pilnu spēku, un Apache gandrīz nekavējoties ievietoja ielāpu.
Kopīgojot savus atklājumus, Rezilion pētnieki cerēja, ka lielākā daļa, ja ne visi, ievainojamo serveru būs izlaboti, ņemot vērā plašsaziņas līdzekļu lielo atspoguļojumu saistībā ar kļūdu. "Mēs kļūdījāmies," raksta pārsteigtie pētnieki. "Diemžēl lietas ir tālu no ideāla, un daudzas lietojumprogrammas, kas ir neaizsargātas pret Log4 Shell, joprojām pastāv savvaļā."
Pētnieki atklāja neaizsargātos gadījumus, izmantojot Shodan Internet of Things (IoT) meklētājprogrammu, un uzskata, ka rezultāti ir tikai aisberga redzamā daļa. Faktiskā neaizsargātā uzbrukuma virsma ir daudz lielāka.
Vai esat pakļauts riskam?
Neskatoties uz diezgan ievērojamo atklāto uzbrukuma virsmu, Hejs uzskatīja, ka vidusmēra mājas lietotājam ir dažas labas ziņas. "Lielākā daļa šo [Log4J] ievainojamību pastāv lietojumprogrammu serveros, un tāpēc ir maz ticams, ka tās ietekmēs jūsu mājas datoru," sacīja Hejs.
Tomēr Džeks Marsals, kiberdrošības pārdevēja WhiteSource produktu mārketinga vecākais direktors, norādīja, ka cilvēki visu laiku mijiedarbojas ar lietojumprogrammām internetā, sākot no iepirkšanās tiešsaistē līdz tiešsaistes spēļu spēlēšanai, pakļaujot tos sekundāriem uzbrukumiem. Kompromitēts serveris, iespējams, var atklāt visu pakalpojumu sniedzēja rīcībā esošo informāciju par savu lietotāju.
"Nevar būt, ka indivīds var būt pārliecināts, ka lietojumprogrammu serveri, ar kuriem viņi mijiedarbojas, nav neaizsargāti pret uzbrukumiem," brīdināja Marsals. "Redzamība vienkārši nepastāv."
Diemžēl viss ir tālu no ideāla, un daudzas lietojumprogrammas, kas ir neaizsargātas pret Log4 Shell, joprojām pastāv savvaļā.
Pozitīvi Sings norādīja, ka daži pārdevēji ir padarījuši mājas lietotājiem diezgan vienkāršu ievainojamības novēršanu. Piemēram, norādot uz oficiālo Minecraft paziņojumu, viņš teica, ka cilvēkiem, kuri spēlē spēles Java versiju, ir vienkārši jāaizver visas palaistās spēles gadījumi un jārestartē Minecraft palaišanas programma, kas automātiski lejupielādēs laboto versiju.
Process ir nedaudz sarežģītāks un sarežģītāks, ja neesat pārliecināts, kādas Java lietojumprogrammas izmantojat savā datorā. Hejs ieteica meklēt failus ar paplašinājumiem.jar,.ear vai.war. Tomēr viņš piebilda, ka ar šo failu klātbūtni vien nepietiek, lai noteiktu, vai tie ir pakļauti log4j ievainojamībai.
Viņš ieteica cilvēkiem izmantot Kārnegija Melona universitātes (CMU) Programmatūras inženierijas institūta (SEI) Computer Emergency Readiness Team (CERT) izstrādātos skriptus, lai atrastu savus datorus ievainojamības dēļ. Tomēr skripti nav grafiski, un, lai tos izmantotu, ir jāiet uz komandrindu.
Ņemot vērā visas lietas, Marsals uzskatīja, ka mūsdienu savienotajā pasaulē ikvienam ir jāpieliek visas pūles, lai saglabātu drošību. Sings piekrita un ieteica cilvēkiem ievērot pamata darbvirsmas drošības praksi, lai sekotu jebkurai ļaunprātīgai darbībai, kas tiek turpināta, izmantojot ievainojamību.
"[Cilvēki] var pārliecināties, ka viņu sistēmas un ierīces ir atjauninātas un galapunktu aizsardzība ir ieviesta," ieteica Sings. "Tas viņiem palīdzētu saņemt brīdinājumus par krāpšanu un novērstu savvaļas ekspluatācijas izraisītas nokrišņus."
