Log4J haavatavus võib teid siiski ohustada

Sisukord:

Log4J haavatavus võib teid siiski ohustada
Log4J haavatavus võib teid siiski ohustada
Anonim

Võtmed kaasavõtmiseks

  • Tuhanded võrguserverid ja -teenused puutuvad endiselt kokku ohtliku ja kergesti ärakasutatava loj4j haavatavusega, leiavad teadlased.
  • Kuigi peamised ohud on serverid ise, võivad avatud serverid seada ohtu ka lõppkasutajad, soovitavad küberturbeeksperdid.
  • Kahjuks saab enamik kasutajaid probleemi lahendamiseks teha vähe peale töölaua parimate turvatavade järgimise.
Image
Image

Ohtlik log4J haavatavus keeldub suremast isegi kuid pärast seda, kui kergesti kasutatava vea parandamine tehti kättesaadavaks.

Rezilioni küberjulgeolekuteadlased avastasid hiljuti üle 90 000 haavatava Interneti-rakenduse, sealhulgas üle 68 000 potentsiaalselt haavatava Minecrafti serveri, mille administraatorid ei ole veel turvapaikasid rakendanud, jättes nad ja nende kasutajad küberrünnakute alla. Ja sa saad selle nimel vähe teha.

"Kahjuks jääb log4j meid Interneti-kasutajaid veel mõnda aega kummitama," ütles küberjulgeolekuteenuse pakkuja Cyphere'i direktor Harman Singh Lifewire'ile meili teel. "Kuna seda probleemi kasutatakse ära serveripoolselt, ei saa [inimesed] serveri kompromissi mõju vältimiseks palju ära teha."

Kummitus

Haavatavust, mille nimeks sai Log4 Shell, kirjeldati esmakordselt 2021. aasta detsembris. USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuuri (CISA) direktor Jen Easterly kirjeldas tollasel telefonibriifingul haavatavust kui "ühte kõige levinumat kohta. tõsine, mida olen kogu oma karjääri jooksul näinud, kui mitte kõige tõsisem."

Meilivahetuses Lifewire'iga ütles küberturvalisuse testimis- ja koolitusettevõtte SimSpace juhendaja Pete Hay, et probleemi ulatust saab hinnata haavatavate teenuste ja rakenduste kogumise põhjal populaarsetelt tarnijatelt, nagu Apple, Steam., Twitter, Amazon, LinkedIn, Tesla ja kümned teised. Pole üllatav, et küberjulgeoleku kogukond vastas täie jõuga ning Apache pani paiga peaaegu kohe välja.

Oma tulemusi jagades lootsid Rezilioni teadlased, et enamiku, kui mitte kõigist, haavatavatest serveritest oleks paigatud, arvestades vea tohutut meediakajastust. "Me eksisime," kirjutavad üllatunud teadlased. "Kahjuks pole asjad ideaalsest kaugel ja paljud Log4 Shelli suhtes haavatavad rakendused eksisteerivad endiselt looduses."

Teadlased leidsid haavatavad juhtumid Shodani asjade Interneti (IoT) otsingumootori abil ja usuvad, et tulemused on vaid jäämäe tipp. Tegelik haavatav ründepind on palju suurem.

Kas olete ohus?

Hoolimata üsna olulisest paljastatud rünnakupinnast uskus Hay, et keskmisele kodukasutajale on häid uudiseid. "Enamik neist [Log4J] haavatavustest eksisteerib rakendusserverites ja on seetõttu väga ebatõenäoline, et need mõjutavad teie koduarvutit," ütles Hay.

Kuid küberturvalisuse müüja WhiteSource tooteturunduse vanemdirektor Jack Marsal juhtis tähelepanu sellele, et inimesed suhtlevad kogu aeg rakendustega Internetis, alates veebiostmisest kuni võrgumängude mängimiseni, jättes need sekundaarsete rünnakute alla. Ohustatud server võib avaldada kogu teabe, mida teenusepakkuja oma kasutaja kohta hoiab.

"Isik ei saa kuidagi olla kindel, et rakendusserverid, millega nad suhtlevad, pole rünnakute suhtes haavatavad," hoiatas Marsal. "Nähtavus lihts alt puudub."

Kahjuks pole asjad ideaalsest kaugel ja paljud Log4 Shelli suhtes haavatavad rakendused eksisteerivad endiselt looduses.

Positiivsena märkis Singh, et mõned müüjad on kodukasutajate jaoks haavatavuse kõrvaldamise teinud üsna lihtsaks. Näiteks osutas ta Minecrafti ametlikule teatisele, et inimesed, kes mängivad mängu Java väljaannet, peavad lihts alt sulgema kõik mängu töötavad eksemplarid ja taaskäivitama Minecrafti käivitusprogrammi, mis laadib paigatud versiooni automaatselt alla.

Protsess on veidi keerulisem ja keerulisem, kui te pole kindel, milliseid Java-rakendusi teie arvutis kasutate. Hay soovitas otsida faile laiendiga.jar,.ear või.war. Siiski lisas ta, et nende failide olemasolust ei piisa, et teha kindlaks, kas need on avatud log4j haavatavusele.

Ta soovitas inimestel kasutada Carnegie Melloni ülikooli (CMU) tarkvaratehnoloogia instituudi (SEI) arvutite hädaolukorra valmisoleku meeskonna (CERT) välja antud skripte, et oma arvutites haavatavust leida. Kuid skriptid ei ole graafilised ja nende kasutamine nõuab käsureale jõudmist.

Arvestades kõike, uskus Marsal, et tänapäeva ühendatud maailmas on igaühe enda teha kõik endast oleneva, et turvalisus püsida. Singh nõustus ja soovitas inimestel järgida põhilisi töölaua turvatavasid, et olla kursis mis tahes pahatahtliku tegevusega, mida haavatavust ära kasutades põlistab.

"[Inimesed] saavad veenduda, et nende süsteeme ja seadmeid värskendatakse ning lõpp-punktide kaitsed on paigas," soovitas Singh. "See aitaks neil saada pettusehoiatusi ja vältida metsiku ekspluateerimise tagajärgi."

Soovitan: