Voit silti olla vaarassa Log4J-haavoittuvuuden vuoksi

May 06, 2022
SisäänUutiset Internet Turvallisuus

Tutkijoiden mukaan tuhannet online-palvelimet ja -palvelut ovat edelleen alttiina vaaralliselle ja helposti hyödynnettävälle loj4j-haavoittuvuudelle.
Vaikka ensisijaiset uhat ovat itse palvelimet, paljaat palvelimet voivat myös vaarantaa loppukäyttäjät, ehdottavat kyberturvallisuusasiantuntijat.
Valitettavasti useimmat käyttäjät voivat vain vähän korjata ongelman sen lisäksi, että noudattavat parhaita työpöydän suojauskäytäntöjä.

Kyberturvallisuuskonseptikuva, jossa on sininen piiri ja lukko, joka peittää binaarikoodia täynnä olevan näytön. — Yuichiro Chino / Getty Images

Vaarallinen log4J haavoittuvuus kieltäytyy kuolemasta jopa kuukausia sen jälkeen, kun helposti hyödynnettävän bugin korjaus oli saatavilla.

Kyberturvallisuustutkijat Rezilionissa äskettäin löydetty yli 90 000 haavoittuvaa Internetiin päin olevaa sovellusta, mukaan lukien yli 68 000 mahdollisesti haavoittuvaa Minecraftia palvelimet, joiden järjestelmänvalvojat eivät ole vielä asentaneet tietoturvakorjauksia, mikä altistaa ne ja niiden käyttäjät kyberhyökkäyksille. Ja sille ei voi juurikaan tehdä.

"Valitettavasti log4j kummittelee meitä internetin käyttäjiä jonkin aikaa."

Harman Singh, kyberturvallisuuspalveluntarjoajan johtaja Cyphere, kertoi Lifewirelle sähköpostitse. "Koska tätä ongelmaa hyödynnetään palvelinpuolelta, [ihmiset] eivät voi tehdä paljon välttääkseen palvelinkompromissin vaikutuksia."

Kummittelu

Haavoittuvuus, dubattuna Log4 Shell, esiteltiin ensimmäisen kerran joulukuussa 2021. Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) johtaja Jen Easterly tuolloisessa puhelintilaisuudessa kuvaili haavoittuvuutta "yksi vakavimmista, joita olen nähnyt koko urani aikana, ellei vakavimpia".

Sähköpostinvaihdossa Lifewiren kanssa Pete Hay, Kyberturvallisuuden testaus- ja koulutusyrityksen opetusjohtaja SimSpace, sanoi, että ongelman laajuus voidaan arvioida haavoittuvien palvelujen ja sovellusten kokoaminen suosituilta toimittajilta, kuten Apple, Steam, Twitter, Amazon, LinkedIn, Tesla ja kymmenet muut. Ei ole yllättävää, että kyberturvallisuusyhteisö vastasi täydellä voimalla, ja Apache julkaisi korjaustiedoston melkein välittömästi.

Jakaessaan havaintojaan Rezilionin tutkijat toivoivat, että suurin osa, elleivät kaikki, haavoittuvista palvelimista olisi korjattu, kun otetaan huomioon, että virheen ympärillä on valtava määrä tiedotusvälineitä. "Olimme väärässä", kirjoittavat hämmästyneet tutkijat. "Valitettavasti asiat ovat kaukana ihanteellisista, ja monia Log4 Shellille haavoittuvia sovelluksia on edelleen luonnossa."

Tutkijat löysivät haavoittuvat tapaukset käyttämällä Shodan Internet of Things (IoT) -hakukonetta ja uskovat, että tulokset ovat vain jäävuoren huippu. Todellinen haavoittuva hyökkäyspinta on paljon suurempi.

Oletko vaarassa?

Melko merkittävästä paljastetusta hyökkäyspinnasta huolimatta Hay uskoi, että siellä on joitain hyviä uutisia keskivertokotikäyttäjälle. "Suurin osa näistä [Log4J]-haavoittuvuuksista löytyy sovelluspalvelimista, joten ne eivät todennäköisesti vaikuta kotitietokoneeseesi", sanoi Hay.

Kuitenkin, Jack Marsal, vanhempi johtaja, tuotemarkkinointi kyberturvatoimittajan kanssa WhiteSource, huomautti, että ihmiset ovat vuorovaikutuksessa Internetin sovellusten kanssa koko ajan verkkokaupoista verkkopelien pelaamiseen, mikä altistaa heidät toissijaisille hyökkäyksille. Vaarantunut palvelin voi mahdollisesti paljastaa kaikki tiedot, joita palveluntarjoaja omistaa käyttäjästään.

"Ei ole mahdollista, että henkilö voi olla varma siitä, että sovelluspalvelimet, joiden kanssa he ovat vuorovaikutuksessa, eivät ole alttiina hyökkäyksille", Marsal varoitti. "Näkyvyyttä ei yksinkertaisesti ole olemassa."

"Valitettavasti asiat ovat kaukana ihanteellisista, ja monia Log4 Shellille haavoittuvia sovelluksia on edelleen luonnossa."

Positiivisena asiana Singh huomautti, että jotkut toimittajat ovat tehneet kotikäyttäjille melko yksinkertaisen haavoittuvuuden korjaamisen. Esimerkiksi osoittamalla virallinen Minecraft-ilmoitusHän sanoi, että pelin Java-versiota pelaavien ihmisten on yksinkertaisesti suljettava kaikki käynnissä olevat esiintymät ja käynnistä Minecraft-käynnistin uudelleen, joka lataa korjatun version automaattisesti.

Prosessi on hieman monimutkaisempi ja vaativampi, jos et ole varma, mitä Java-sovelluksia käytät tietokoneessasi. Hay ehdotti etsimään tiedostoja, joiden tiedostopääte on .jar, .ear tai .war. Hän kuitenkin lisäsi, että pelkkä näiden tiedostojen läsnäolo ei riitä määrittämään, ovatko ne alttiina log4j-haavoittuvuudelle.

Hän ehdotti ihmisiä käytä skriptejä Carnegie Mellon -yliopiston (CMU) Software Engineering Instituten (SEI) Computer Emergency Readiness Team (CERT) etsii tietokoneitaan haavoittuvuuden varalta. Skriptit eivät kuitenkaan ole graafisia, ja niiden käyttö vaatii siirtymistä komentoriville.

Kaiken kaikkiaan Marsal uskoi, että nykypäivän verkkomaailmassa jokaisen on tehtävä parhaansa pysyäkseen turvassa. Singh suostui ja neuvoi ihmisiä noudattamaan perustietoturvakäytäntöjä, jotta he pysyisivät haavoittuvuuden hyödyntämisen jatkuvien haitallisten toimien kärjessä.

"[Ihmiset] voivat varmistaa, että heidän järjestelmänsä ja laitteensa on päivitetty ja päätepistesuojaukset ovat käytössä", Singh ehdotti. "Tämä auttaisi heitä petosvaroituksissa ja ehkäisemään luonnonvaraisen hyväksikäytön aiheuttamia seurauksia."