คุณยังคงมีความเสี่ยงจากช่องโหว่ของ Log4J

May 06, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

นักวิจัยพบว่าเซิร์ฟเวอร์และบริการออนไลน์หลายพันเครื่องยังคงเผชิญกับช่องโหว่ loj4j ที่เป็นอันตรายและหาประโยชน์ได้ง่าย
แม้ว่าภัยคุกคามหลักจะเป็นตัวเซิร์ฟเวอร์เอง แต่เซิร์ฟเวอร์ที่เปิดเผยก็สามารถทำให้ผู้ใช้ปลายทางตกอยู่ในความเสี่ยงได้เช่นกัน ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำ
น่าเสียดาย ที่ผู้ใช้ส่วนใหญ่ไม่สามารถแก้ไขปัญหานี้ได้ นอกจากการปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยเดสก์ท็อปที่ดีที่สุดแล้ว

ภาพแนวคิดความปลอดภัยทางไซเบอร์ที่มีวงจรสีน้ำเงินและล็อกซ้อนทับหน้าจอที่เต็มไปด้วยรหัสไบนารี — Yuichiro Chino / Getty Images

ตัวอันตราย ช่องโหว่ log4J ปฏิเสธที่จะตาย แม้กระทั่งหลายเดือนหลังจากที่ได้แก้ไขจุดบกพร่องที่ใช้ประโยชน์ได้ง่าย

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Rezilion เพิ่งค้นพบ แอปพลิเคชั่นเชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่มากกว่า 90,000 รายการรวมถึง Minecraft ที่อาจมีความเสี่ยงมากกว่า 68,000 รายการ เซิร์ฟเวอร์ที่ผู้ดูแลระบบยังไม่ได้ใช้แพตช์ความปลอดภัย เปิดเผยพวกเขาและผู้ใช้ของพวกเขาต่อการโจมตีทางอินเทอร์เน็ต และมีอะไรเล็กน้อยที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้

"น่าเสียดายที่ log4j จะหลอกหลอนผู้ใช้อินเทอร์เน็ตไปชั่วขณะหนึ่ง" Harman Singh, ผู้อำนวยการผู้ให้บริการความปลอดภัยทางไซเบอร์

Cyphereบอก Lifewire ทางอีเมล "เนื่องจากปัญหานี้ถูกเอารัดเอาเปรียบจากฝั่งเซิร์ฟเวอร์ [คน] ไม่สามารถทำอะไรมากเพื่อหลีกเลี่ยงผลกระทบจากการประนีประนอมของเซิร์ฟเวอร์"

The Haunting

จุดอ่อนที่ถูกขนานนามว่า Log4 Shellถูกให้รายละเอียดครั้งแรกในเดือนธันวาคม พ.ศ. 2564 ในการบรรยายสรุปทางโทรศัพท์ในตอนนั้น ผู้อำนวยการหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เจน อีสเตอร์ลี อธิบายจุดอ่อน ในฐานะ "หนึ่งในเรื่องที่จริงจังที่สุดที่ฉันเคยเห็นมาทั้งอาชีพ ถ้าไม่จริงจังที่สุด"

ในการแลกเปลี่ยนอีเมลกับ Lifewire พีท เฮย์, Instructional Lead ที่บริษัททดสอบและฝึกอบรมความปลอดภัยทางไซเบอร์ SimSpaceกล่าวว่าขอบเขตของปัญหาสามารถวัดได้จาก การรวบรวมบริการและแอปพลิเคชันที่มีช่องโหว่ จากผู้จำหน่ายยอดนิยม เช่น Apple, Steam, Twitter, Amazon, LinkedIn, Tesla และอื่นๆ อีกนับสิบ ไม่น่าแปลกใจเลยที่ชุมชนความปลอดภัยทางไซเบอร์ตอบโต้อย่างเต็มที่โดย Apache ออกแพตช์เกือบจะในทันที

นักวิจัยของ Rezilion แบ่งปันการค้นพบนี้ หวังว่าเซิร์ฟเวอร์ที่มีช่องโหว่ส่วนใหญ่ หากไม่ทั้งหมด จะได้รับการแพตช์ เนื่องจากการรายงานข่าวจำนวนมากเกี่ยวกับจุดบกพร่อง "เราคิดผิด" นักวิจัยประหลาดใจเขียนไว้ "น่าเสียดายที่สิ่งต่าง ๆ อยู่ไกลจากอุดมคติ และแอปพลิเคชั่นจำนวนมากที่เสี่ยงต่อ Log4 Shell ยังคงมีอยู่ในธรรมชาติ"

นักวิจัยพบตัวอย่างที่มีช่องโหว่โดยใช้เครื่องมือค้นหา Shodan Internet of Things (IoT) และเชื่อว่าผลลัพธ์เป็นเพียงส่วนเล็กสุดของภูเขาน้ำแข็ง พื้นผิวการโจมตีที่มีช่องโหว่นั้นใหญ่กว่ามาก

คุณมีความเสี่ยงหรือไม่?

แม้จะมีพื้นผิวการโจมตีที่ค่อนข้างชัดเจน แต่ Hay เชื่อว่ามีข่าวดีสำหรับผู้ใช้ตามบ้านทั่วไป "ช่องโหว่ [Log4J] เหล่านี้ส่วนใหญ่มีอยู่ในแอปพลิเคชันเซิร์ฟเวอร์ ดังนั้นจึงไม่น่าจะส่งผลกระทบต่อคอมพิวเตอร์ที่บ้านของคุณมากนัก" เฮย์กล่าว

อย่างไรก็ตาม, แจ็ค มาร์ซาล, ผู้อำนวยการอาวุโส ฝ่ายการตลาดผลิตภัณฑ์กับผู้จำหน่ายความปลอดภัยทางไซเบอร์ ไวท์ซอร์สชี้ให้เห็นว่าผู้คนโต้ตอบกับแอปพลิเคชั่นบนอินเทอร์เน็ตตลอดเวลา ตั้งแต่การช็อปปิ้งออนไลน์ไปจนถึงการเล่นเกมออนไลน์ ทำให้พวกเขาถูกโจมตีครั้งที่สอง เซิร์ฟเวอร์ที่ถูกบุกรุกอาจเปิดเผยข้อมูลทั้งหมดที่ผู้ให้บริการเก็บไว้เกี่ยวกับผู้ใช้ของตน

"ไม่มีทางที่บุคคลจะมั่นใจได้ว่าแอพพลิเคชันเซิร์ฟเวอร์ที่พวกเขาโต้ตอบด้วยจะไม่เสี่ยงต่อการถูกโจมตี" Marsal เตือน "การมองเห็นก็ไม่มีอยู่จริง"

"น่าเสียดายที่สิ่งต่าง ๆ อยู่ไกลจากอุดมคติ และแอปพลิเคชั่นจำนวนมากที่เสี่ยงต่อ Log4 Shell ยังคงมีอยู่ในธรรมชาติ"

ในแง่บวก Singh ชี้ให้เห็นว่าผู้ขายบางรายทำให้ผู้ใช้ตามบ้านสามารถจัดการกับช่องโหว่ได้ง่ายพอสมควร ตัวอย่างเช่น ชี้ไปที่ ประกาศ Minecraft อย่างเป็นทางการเขาบอกว่าคนที่เล่นเกมรุ่น Java นั้นต้องการเพียงแค่ปิดอินสแตนซ์ที่รันอยู่ทั้งหมด ของเกมและรีสตาร์ทตัวเปิดใช้ Minecraft ซึ่งจะดาวน์โหลดเวอร์ชันแพตช์ โดยอัตโนมัติ

กระบวนการนี้ซับซ้อนกว่าเล็กน้อยและเกี่ยวข้องหากคุณไม่แน่ใจว่าใช้แอปพลิเคชัน Java ใดบนคอมพิวเตอร์ของคุณ เฮย์แนะนำให้ค้นหาไฟล์ที่มีนามสกุล .jar, .ear หรือ .war อย่างไรก็ตาม เขาเสริมว่าการมีอยู่ของไฟล์เหล่านี้เพียงอย่างเดียวไม่เพียงพอที่จะระบุได้ว่าไฟล์เหล่านั้นถูกเปิดเผยต่อช่องโหว่ของ log4j หรือไม่

เขาแนะนำคน ใช้สคริปต์ นำโดย Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) เพื่อสืบค้นข้อมูลคอมพิวเตอร์ของตนเพื่อหาช่องโหว่ อย่างไรก็ตาม สคริปต์ไม่ได้เป็นแบบกราฟิก และต้องใช้สคริปต์เหล่านี้ไปที่บรรทัดคำสั่ง

เมื่อพิจารณาทุกอย่างแล้ว Marsal เชื่อว่าในโลกที่เชื่อมต่อถึงกันทุกวันนี้ ขึ้นอยู่กับทุกคนที่จะใช้ความพยายามอย่างเต็มที่เพื่อรักษาความปลอดภัย ซิงห์ตกลงและแนะนำให้ผู้คนปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยเดสก์ท็อปขั้นพื้นฐานเพื่อติดตามกิจกรรมที่เป็นอันตรายใด ๆ ที่เกิดขึ้นจากการใช้ประโยชน์จากช่องโหว่

"[ผู้คน] สามารถตรวจสอบให้แน่ใจว่าระบบและอุปกรณ์ของพวกเขาได้รับการอัปเดตและมีการป้องกันปลายทาง" นายซิงห์แนะนำ "สิ่งนี้จะช่วยพวกเขาในการแจ้งเตือนการฉ้อโกงและการป้องกันผลกระทบใด ๆ จากการแสวงประโยชน์จากป่า"