Jums vis tiek gali kilti pavojus dėl Log4J pažeidžiamumo

May 06, 2022
ĮŽinios Interneto Apsauga

Tyrėjai nustatė, kad tūkstančiai internetinių serverių ir paslaugų vis dar susiduria su pavojingu ir lengvai išnaudojamu loj4j pažeidžiamumu.
Nors pagrindinės grėsmės yra patys serveriai, atviri serveriai taip pat gali kelti pavojų galutiniams vartotojams, teigia kibernetinio saugumo ekspertai.
Deja, dauguma vartotojų gali nedaug ką padaryti, kad išspręstų problemą, be to, vadovaudamiesi geriausia darbalaukio saugos praktika.

Kibernetinio saugumo koncepcijos vaizdas su mėlyna grandine ir užraktu, dengiantis ekraną, pilną dvejetainio kodo. — Yuichiro Chino / Getty Images

Pavojingas log4J pažeidžiamumas atsisako mirti net praėjus mėnesiams po to, kai buvo paskelbtas lengvai išnaudojamos klaidos pataisymas.

Kibernetinio saugumo tyrėjai Rezilion neseniai atrasta daugiau nei 90 000 pažeidžiamų internetinių programų, įskaitant daugiau nei 68 000 potencialiai pažeidžiamų „Minecraft“ serveriai, kurių administratoriai dar nepritaikė saugos pataisų, todėl jiems ir jų vartotojams kyla kibernetinių atakų. Ir mažai ką galite dėl to padaryti.

„Deja, log4j kurį laiką persekios mus interneto vartotojus“, Harmanas Singhas

, kibernetinio saugumo paslaugų teikėjo direktorius Sifera, sakė Lifewire el. paštu. „Kadangi ši problema išnaudojama iš serverio pusės, [žmonės] negali padaryti daug, kad išvengtų serverio kompromiso.

Vaiduoklis

Pažeidžiamumas, pavadintas Log4 Shell, pirmą kartą buvo detalizuota 2021 m. gruodžio mėn. Tuometiniame pokalbyje telefonu JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) direktorė Jen Easterly, apibūdino pažeidžiamumą kaip „vieną rimčiausių, kokį mačiau per visą savo karjerą, jei ne pati rimčiausia“.

El. paštu su Lifewire, Pitas Hay, Kibernetinio saugumo testavimo ir mokymo įmonės mokymo vadovas SimSpace, sakė, kad problemos mastą galima įvertinti iš pažeidžiamų paslaugų ir taikomųjų programų rinkinys iš populiarių pardavėjų, tokių kaip Apple, Steam, Twitter, Amazon, LinkedIn, Tesla ir daugybė kitų. Nenuostabu, kad kibernetinio saugumo bendruomenė sureagavo visa jėga, o „Apache“ beveik iš karto išleido pataisą.

Pasidalydami savo išvadomis, „Rezilion“ tyrėjai tikėjosi, kad dauguma, jei ne visi, pažeidžiamų serverių būtų pataisyti, atsižvelgiant į didžiulę žiniasklaidos nušvietimą apie klaidą. „Mes klydome“, – rašo nustebę tyrinėtojai. „Deja, viskas toli gražu nėra idealu, o daugelis „Log4 Shell“ pažeidžiamų programų vis dar egzistuoja laukinėje gamtoje.

Tyrėjai rado pažeidžiamus atvejus naudodamiesi „Shodan Internet of Things“ (IoT) paieškos sistema ir mano, kad rezultatai yra tik ledkalnio viršūnė. Tikrasis pažeidžiamas atakos paviršius yra daug didesnis.

Ar jums gresia pavojus?

Nepaisant gana reikšmingo atakos paviršiaus, Hay'us tikėjo, kad paprastam namų vartotojui yra gerų naujienų. „Dauguma šių [Log4J] pažeidžiamumų yra taikomųjų programų serveriuose, todėl mažai tikėtina, kad jie paveiks jūsų namų kompiuterį“, – sakė Hay.

Tačiau Džekas Marsalis, vyresnysis produktų rinkodaros direktorius su kibernetinio saugumo tiekėju WhiteSource, atkreipė dėmesį, kad žmonės visą laiką sąveikauja su programomis internete – nuo apsipirkimo internetu iki žaidimų internetinių žaidimų, todėl jiems kyla antrinių atakų. Pažeistas serveris gali atskleisti visą paslaugų teikėjo turimą informaciją apie savo vartotoją.

„Asmuo negali būti tikras, kad programų serveriai, su kuriais jie sąveikauja, nėra pažeidžiami atakų“, – perspėjo Marsalas. „Matomumas tiesiog neegzistuoja.

„Deja, viskas toli gražu nėra idealu, o daugelis „Log4 Shell“ pažeidžiamų programų vis dar egzistuoja laukinėje gamtoje.

Teigiamai Singhas atkreipė dėmesį į tai, kad kai kurie pardavėjai namų vartotojams gana paprastai pašalino pažeidžiamumą. Pavyzdžiui, nurodant į oficialus Minecraft pranešimas, jis sakė, kad žmonėms, žaidžiantiems „Java“ žaidimo leidimą, reikia tiesiog uždaryti visus veikiančius atvejus žaidimą ir iš naujo paleiskite „Minecraft“ paleidimo priemonę, kuri atsisiųs pataisytą versiją automatiškai.

Procesas yra šiek tiek sudėtingesnis ir sudėtingesnis, jei nesate tikri, kokias Java programas naudojate savo kompiuteryje. Hay pasiūlė ieškoti failų su plėtiniais .jar, .ear arba .war. Tačiau jis pridūrė, kad vien šių failų buvimo neužtenka, kad būtų galima nustatyti, ar jie yra paveikti log4j pažeidžiamumo.

Jis pasiūlė žmonėms naudoti scenarijus Carnegie Mellon universiteto (CMU) Programinės įrangos inžinerijos instituto (SEI) Kompiuterių parengties ekstremalioms situacijoms komanda (CERT) paskelbė, kad jų kompiuteriuose nėra pažeidžiamumo. Tačiau scenarijai nėra grafiniai, todėl norint juos naudoti, reikia pereiti prie komandinės eilutės.

Atsižvelgiant į viską, Marsalas tikėjo, kad šiandieniniame pasaulyje, kuriame yra ryšys, kiekvienas turi dėti visas pastangas, kad išliktų saugus. Singhas sutiko ir patarė žmonėms laikytis pagrindinės darbalaukio saugos praktikos, kad būtų išvengta bet kokios kenkėjiškos veiklos, kuri tęsiasi išnaudojant pažeidžiamumą.

"[Žmonės] gali įsitikinti, kad jų sistemos ir įrenginiai yra atnaujinami ir galinių taškų apsauga yra įdiegta", - pasiūlė Singhas. „Tai padėtų jiems įspėti apie sukčiavimą ir apsisaugoti nuo bet kokių laukinių išnaudojimų.