Še vedno bi lahko bili ogroženi zaradi ranljivosti Log4J

May 06, 2022
VNovice Internet In Varnost

Na tisoče spletnih strežnikov in storitev je še vedno izpostavljenih nevarni in zlahka izkoriščeni ranljivosti loj4j, ugotavljajo raziskovalci.
Medtem ko so primarna grožnja strežniki sami, lahko izpostavljeni strežniki ogrožajo tudi končne uporabnike, predlagajo strokovnjaki za kibernetsko varnost.
Na žalost večina uporabnikov ne more storiti le malo, da bi odpravila težavo, razen upoštevanja najboljših varnostnih praks za namizne računalnike.

Slika koncepta kibernetske varnosti z modrim vezjem in ključavnico, ki prekriva zaslon, poln binarne kode. — Yuichiro Chino / Getty Images

Nevarno ranljivost log4J noče umreti, tudi mesece po tem, ko je bil na voljo popravek za napako, ki jo je mogoče zlahka izkoristiti.

Raziskovalci kibernetske varnosti pri Rezilionu nedavno odkrito več kot 90.000 ranljivih internetnih aplikacij, vključno z več kot 68.000 potencialno ranljivimi Minecraft strežniki, katerih skrbniki še niso uporabili varnostnih popravkov, s čimer so njih in njihove uporabnike izpostavili kibernetskim napadom. In malo lahko storite glede tega.

"Na žalost nas bo log4j še kar nekaj časa preganjal uporabnike interneta,"

Harman Singh, direktor ponudnika storitev kibernetske varnosti Cyphere, je za Lifewire povedal po elektronski pošti. "Ker se ta težava izkorišča s strani strežnika, [ljudje] ne morejo storiti veliko, da bi se izognili učinku kompromisa strežnika."

Lov

Ranljivost, imenovana Lupina Log4, je bil prvič podrobno predstavljen decembra 2021. Direktorica ameriške agencije za kibernetsko varnost in varnost infrastrukture (CISA) Jen Easterly je takrat v telefonskem brifingu povedala opisal ranljivost kot "enega najresnejših, kar sem jih videl v celotni karieri, če ne celo najresnejših."

V izmenjavi e-pošte z Lifewire, Pete Hay, vodja poučevanja v podjetju za testiranje in usposabljanje kibernetske varnosti SimSpace, je dejal, da je obseg problema mogoče oceniti iz zbiranje ranljivih storitev in aplikacij od priljubljenih ponudnikov, kot so Apple, Steam, Twitter, Amazon, LinkedIn, Tesla in na desetine drugih. Ni presenetljivo, da se je skupnost za kibernetsko varnost odzvala s polno močjo, pri čemer je Apache skoraj takoj izdal popravek.

Raziskovalci Reziliona so, ko so delili svoje ugotovitve, upali, da bi bila večina, če ne vsi, ranljivih strežnikov popravljenih, glede na ogromno medijsko poročanje o napaki. "Zmotili smo se," pišejo presenečeni raziskovalci. "Na žalost so stvari daleč od idealnih in številne aplikacije, ki so ranljive za lupino Log4, še vedno obstajajo v naravi."

Raziskovalci so odkrili ranljive primere z uporabo iskalnika Shodan Internet of Things (IoT) in verjamejo, da so rezultati le vrh ledene gore. Dejanska ranljiva površina napada je veliko večja.

Ali ste v nevarnosti?

Kljub precej veliki izpostavljeni površini napada je Hay verjel, da obstaja nekaj dobrih novic za povprečnega domačega uporabnika. "Večina teh ranljivosti [Log4J] obstaja na aplikacijskih strežnikih in je zato zelo malo verjetno, da bi vplivale na vaš domači računalnik," je dejal Hay.

Vendar pa Jack Marsal, višji direktor trženja izdelkov s prodajalcem kibernetske varnosti WhiteSource, je poudaril, da ljudje ves čas komunicirajo z aplikacijami po internetu, od spletnega nakupovanja do igranja spletnih iger, zaradi česar so izpostavljeni sekundarnim napadom. Ogrožen strežnik lahko potencialno razkrije vse informacije, ki jih ima ponudnik storitev o svojem uporabniku.

"Posameznik ne more biti prepričan, da aplikacijski strežniki, s katerimi komunicirajo, niso ranljivi za napade," je opozoril Marsal. "Vidnost preprosto ne obstaja."

"Na žalost so stvari daleč od idealnih in številne aplikacije, ki so ranljive za lupino Log4, še vedno obstajajo v naravi."

Pozitivno je Singh poudaril, da so nekateri prodajalci domačim uporabnikom olajšali odpravljanje ranljivosti. Na primer, s kazalcem na uradno obvestilo Minecrafta, je dejal, da morajo ljudje, ki igrajo različico igre Java, preprosto zapreti vse delujoče primerke igre in znova zaženite zaganjalnik Minecrafta, ki bo prenesel popravljeno različico samodejno.

Postopek je nekoliko bolj zapleten in zapleten, če niste prepričani, katere aplikacije Java izvajate v računalniku. Hay je predlagal iskanje datotek z razširitvami .jar, .ear ali .war. Vendar je dodal, da sama prisotnost teh datotek ni dovolj, da bi ugotovili, ali so izpostavljene ranljivosti log4j.

Predlagal je ljudi uporabite skripte ki jih je pripravil Inštitut za programsko inženirstvo (SEI) Univerze Carnegie Mellon (CMU) za računalniško pripravljenost v sili (CERT), da bi poiskali ranljivost svojih računalnikov. Vendar skripti niso grafični in njihova uporaba zahteva spuščanje v ukazno vrstico.

Če upoštevamo vse stvari, je Marsal verjel, da je v današnjem povezanem svetu vsakdo, da se potrudi, da ostane varen. Singh se je strinjal in svetoval ljudem, naj sledijo osnovnim varnostnim praksam za namizne računalnike, da ostanejo na vrhu vsake zlonamerne dejavnosti, ki se nadaljuje z izkoriščanjem ranljivosti.

"[Ljudje] lahko zagotovijo, da so njihovi sistemi in naprave posodobljeni in da so zaščitene končne točke na mestu," je predlagal Singh. "To bi jim pomagalo pri kakršnih koli opozorilih na goljufije in preprečevanju kakršnih koli posledic divjih izkoriščanj."