Stále můžete být ohroženi chybou zabezpečení Log4J

May 06, 2022
VZprávy Internetová Bezpečnost

Tisíce online serverů a služeb jsou stále vystaveny nebezpečné a snadno zneužitelné zranitelnosti loj4j, zjistili výzkumníci.
Zatímco primární hrozbou jsou samotné servery, nechráněné servery mohou ohrozit i koncové uživatele, navrhují odborníci na kybernetickou bezpečnost.
Bohužel existuje jen málo, co většina uživatelů může udělat pro vyřešení problému kromě dodržování nejlepších postupů zabezpečení počítače.

Obrázek konceptu kybernetické bezpečnosti s modrým obvodem a zámkem překrývajícím obrazovku plnou binárního kódu. — Yuichiro Chino / Getty Images

Nebezpečné zranitelnost log4J odmítá zemřít i měsíce poté, co byla zpřístupněna oprava snadno zneužitelné chyby.

Výzkumníci kybernetické bezpečnosti ve společnosti Rezilion nedávno objevený více než 90 000 zranitelných aplikací pro internet, včetně více než 68 000 potenciálně zranitelných Minecraft servery, jejichž administrátoři dosud neaplikovali bezpečnostní záplaty, čímž je a jejich uživatele vystavují kybernetickým útokům. A máloco s tím můžete udělat.

"Bohužel log4j nás uživatele internetu bude pronásledovat ještě nějakou dobu," Harman Singh, Director ve společnosti cybersecurity service provider

Cyphere, řekl Lifewire e-mailem. "Protože je tento problém využíván ze strany serveru, nemohou [lidé] mnoho udělat, aby se vyhnuli dopadu kompromitace serveru."

Lovení

Zranitelnost, dabovaná Log4 Shell, byl poprvé podrobně popsán v prosinci 2021. Na telefonickém briefingu tehdy ředitelka americké agentury pro kybernetickou bezpečnost a infrastrukturu (CISA) Jen Easterlyová, popsal zranitelnost jako "jeden z nejvážnějších, které jsem za celou svou kariéru viděl, ne-li nejzávažnější."

V e-mailové výměně s Lifewire, Pete Hay, Instruktážní vedoucí ve společnosti pro testování a školení kybernetické bezpečnosti SimSpace, řekl, že rozsah problému lze změřit z kompilace zranitelných služeb a aplikací od oblíbených prodejců, jako je Apple, Steam, Twitter, Amazon, LinkedIn, Tesla a desítky dalších. Není překvapením, že komunita kybernetické bezpečnosti zareagovala plnou silou a Apache vydal opravu téměř okamžitě.

Výzkumníci Rezilion se podělili o svá zjištění a doufali, že většina, ne-li všechny, zranitelné servery budou opraveny, vzhledem k obrovskému množství mediálního pokrytí kolem chyby. „Mýlili jsme se,“ píší překvapení badatelé. "Bohužel, věci nejsou zdaleka ideální a mnoho aplikací zranitelných Log4 Shell stále existuje ve volné přírodě."

Výzkumníci našli zranitelné případy pomocí vyhledávače Shodan Internet of Things (IoT) a věří, že výsledky jsou jen špičkou ledovce. Skutečná zranitelná útočná plocha je mnohem větší.

Jste v ohrožení?

Navzdory poměrně značnému odhalenému povrchu útoku Hay věřil, že pro průměrného domácího uživatele existují dobré zprávy. „Většina těchto zranitelností [Log4J] existuje na aplikačních serverech, a proto je velmi nepravděpodobné, že by ovlivnily váš domácí počítač,“ řekl Hay.

Nicméně, Jack Marsal, vrchní ředitel produktového marketingu s dodavatelem kybernetické bezpečnosti WhiteSource, poukázal na to, že lidé neustále komunikují s aplikacemi na internetu, od online nakupování po hraní online her, a vystavují je tak sekundárním útokům. Napadený server může potenciálně odhalit všechny informace, které poskytovatel služeb o svém uživateli uchovává.

„Neexistuje žádný způsob, jak by si jednotlivec mohl být jistý, že aplikační servery, se kterými interagují, nejsou zranitelné vůči útoku,“ varoval Marsal. "Viditelnost prostě neexistuje."

"Bohužel, věci nejsou zdaleka ideální a mnoho aplikací zranitelných Log4 Shell stále existuje ve volné přírodě."

Pozitivní je, že Singh poukázal na to, že někteří prodejci domácím uživatelům poměrně zjednodušili řešení této zranitelnosti. Například ukázání na oficiální oznámení o Minecraftuřekl, že lidé, kteří hrají Java edici hry, musí jednoduše zavřít všechny spuštěné instance hry a restartujte spouštěč Minecraftu, který stáhne opravenou verzi automaticky.

Tento proces je o něco složitější a složitější, pokud si nejste jisti, jaké Java aplikace na svém počítači používáte. Hay navrhl hledat soubory s příponami .jar, .ear nebo .war. Dodal však, že pouhá přítomnost těchto souborů nestačí k určení, zda jsou vystaveny zranitelnosti log4j.

Navrhoval lidi používat skripty vydal Carnegie Mellon University (CMU) Software Engineering Institute (SEI) tým Computer Emergency Readiness Team (CERT), aby prohledal jejich počítače zranitelnost. Skripty však nejsou grafické a jejich použití vyžaduje přejít na příkazový řádek.

Marsal věřil, že v dnešním propojeném světě je na každém, aby vynaložil maximální úsilí, aby zůstal v bezpečí. Singh souhlasil a poradil lidem, aby dodržovali základní bezpečnostní postupy pro stolní počítače, aby zůstali pod kontrolou jakékoli škodlivé činnosti udržované zneužíváním této chyby zabezpečení.

„[Lidé] se mohou ujistit, že jejich systémy a zařízení jsou aktualizovány a že jsou na místě ochrany koncových bodů,“ navrhl Singh. "To by jim pomohlo s případnými varováními o podvodech a prevencí proti jakýmkoli spadům z divokého vykořisťování."