Keeawayt
- Tuhannet online-palvelimet ja -palvelut ovat edelleen alttiina vaaralliselle ja helposti hyödynnettävälle loj4j-haavoittuvuudelle, löytävät tutkijat.
- Vaikka ensisijaiset uhat ovat palvelimet itse, paljaat palvelimet voivat vaarantaa myös loppukäyttäjät, ehdottavat kyberturvallisuusasiantuntijat.
- Valitettavasti useimmat käyttäjät voivat vain vähän korjata ongelman, paitsi noudattaa parhaita työpöytäturvakäytäntöjä.
Vaarallinen log4J-haavoittuvuus kieltäytyy kuolemasta jopa kuukausia sen jälkeen, kun helposti hyödynnettävän bugin korjaus oli saatavilla.
Rezilionin kyberturvallisuustutkijat löysivät äskettäin yli 90 000 haavoittuvaa Internetiin päin olevaa sovellusta, mukaan lukien yli 68 000 mahdollisesti haavoittuvaa Minecraft-palvelinta, joiden järjestelmänvalvojat eivät ole vielä asentaneet tietoturvakorjauksia, mikä altistaa ne ja heidän käyttäjänsä kyberhyökkäyksille. Etkä voi juurikaan tehdä asialle.
"Valitettavasti log4j kummittelee meitä internetin käyttäjiä jonkin aikaa", Kyberturvallisuuspalveluntarjoajan Cypheren johtaja Harman Singh kertoi Lifewirelle sähköpostitse. "Koska tätä ongelmaa hyödynnetään palvelinpuolelta, [ihmiset] eivät voi tehdä paljon välttääkseen palvelinkompromissin vaikutuksia."
Kummitus
Haavoittuvuus, nimeltään Log4 Shell, esiteltiin ensimmäisen kerran joulukuussa 2021. Yhdysv altain kyberturvallisuus- ja infrastruktuurin turvallisuusviraston (CISA) johtaja Jen Easterly kuvaili tuolloin puhelintilaisuudessa haavoittuvuutta "yhdeksi suurimmista vakavaa, mitä olen nähnyt koko urani aikana, ellei vakavimpia."
Lifewiren kanssa käydyssä sähköpostinvaihdossa kyberturvallisuuden testaus- ja koulutusyrityksen SimSpacen opetusjohtaja Pete Hay sanoi, että ongelman laajuus voidaan arvioida suosittujen toimittajien, kuten Applen ja Steamin, haavoittuvien palveluiden ja sovellusten perusteella., Twitter, Amazon, LinkedIn, Tesla ja kymmeniä muita. Ei ole yllättävää, että kyberturvallisuusyhteisö vastasi täydellä voimalla, ja Apache julkaisi korjaustiedoston melkein välittömästi.
Jakaessaan havaintojaan Rezilionin tutkijat toivoivat, että suurin osa, elleivät kaikki, haavoittuvista palvelimista olisi korjattu, koska vian ympärillä on v altava määrä tiedotusvälineitä. "Olimme väärässä", kirjoittavat hämmästyneet tutkijat. "Valitettavasti asiat eivät ole ihanteellisia, ja monia Log4 Shellille haavoittuvia sovelluksia on edelleen luonnossa."
Tutkijat löysivät haavoittuvat tapaukset käyttämällä Shodan Internet of Things (IoT) -hakukonetta ja uskovat, että tulokset ovat vain jäävuoren huippu. Todellinen haavoittuva hyökkäyspinta on paljon suurempi.
Oletko vaarassa?
Melko merkittävästä hyökkäyspinnasta huolimatta Hay uskoi, että keskivertokotikäyttäjälle on hyviä uutisia. "Suurin osa näistä [Log4J]-haavoittuvuuksista löytyy sovelluspalvelimista, joten ne eivät todennäköisesti vaikuta kotitietokoneeseesi", sanoi Hay.
Jack Marsal, kyberturvallisuustoimittajan WhiteSourcen tuotemarkkinoinnin johtaja, huomautti, että ihmiset ovat vuorovaikutuksessa Internetin sovellusten kanssa koko ajan verkkokaupoista verkkopelien pelaamiseen ja altistavat ne toissijaisille hyökkäyksille. Vaarantunut palvelin voi mahdollisesti paljastaa kaikki palveluntarjoajan hallussa olevat tiedot käyttäjästään.
"Ei ole mahdollista, että henkilö voi olla varma siitä, että sovelluspalvelimet, joiden kanssa hän on vuorovaikutuksessa, eivät ole alttiita hyökkäyksille", Marsal varoitti. "Näkyvyyttä ei yksinkertaisesti ole olemassa."
Valitettavasti asiat eivät ole ihanteellisia, ja monia Log4 Shellille haavoittuvia sovelluksia on edelleen luonnossa.
Myönteisenä huomautuksena Singh huomautti, että jotkut toimittajat ovat tehneet kotikäyttäjille melko yksinkertaisen haavoittuvuuden korjaamisen. Hän esimerkiksi osoitti virallista Minecraft-ilmoitusta ja sanoi, että pelin Java-versiota pelaavien ihmisten on yksinkertaisesti suljettava kaikki pelin käynnissä olevat esiintymät ja käynnistettävä Minecraft-käynnistin uudelleen, mikä lataa korjatun version automaattisesti.
Prosessi on hieman monimutkaisempi ja vaativampi, jos et ole varma, mitä Java-sovelluksia käytät tietokoneessasi. Hay ehdotti.jar-,.ear- tai.war-päätteisten tiedostojen etsimistä. Hän kuitenkin lisäsi, että pelkkä näiden tiedostojen olemassaolo ei riitä määrittämään, ovatko ne alttiina log4j-haavoittuvuudelle.
Hän ehdotti, että ihmiset käyttävät Carnegie Mellon Universityn (CMU) Software Engineering Instituten (SEI) Computer Emergency Readiness Teamin (CERT) julkaisemia skriptejä haavoittuvuuden etsimiseen tietokoneistaan. Skriptit eivät kuitenkaan ole graafisia, ja niiden käyttö vaatii siirtymistä komentoriville.
Kaikki huomioon ottaen Marsal uskoi, että nykypäivän verkkomaailmassa jokaisen on tehtävä parhaansa pysyäkseen turvassa. Singh suostui ja neuvoi ihmisiä noudattamaan työpöydän perustietoturvakäytäntöjä pysyäkseen tietoisena haavoittuvuuden hyödyntämisen jatkuvista haitallisista toimista.
"[Ihmiset] voivat varmistaa, että heidän järjestelmänsä ja laitteensa on päivitetty ja päätepistesuojaukset ovat käytössä", Singh ehdotti. "Tämä auttaisi heitä petosvaroituksissa ja ehkäisemään villien hyväksikäytön aiheuttamia seurauksia."
