Sleutel wegneemetes
- Duisende aanlyn bedieners en dienste is steeds blootgestel aan die gevaarlike, en maklik uitbuitbare loj4j kwesbaarheid, vind navorsers.
- Hoewel die primêre bedreigings die bedieners self is, kan blootgestelde bedieners ook eindgebruikers in gevaar stel, stel kuberveiligheidskenners voor.
- Ongelukkig is daar min wat die meeste gebruikers kan doen om die probleem op te los, behalwe om die beste rekenaarsekuriteitspraktyke te volg.
Die gevaarlike log4J-kwesbaarheid weier om te sterf, selfs maande nadat 'n oplossing vir die maklik uitbuitbare fout beskikbaar gestel is.
Cybersecurity-navorsers by Rezilion het onlangs meer as 90 000 kwesbare toepassings op die internet ontdek, insluitend meer as 68 000 potensieel kwesbare Minecraft-bedieners wie se administrateurs nog nie die sekuriteitsreëlings toegepas het nie, wat hulle en hul gebruikers aan kuberaanvalle blootgestel het. En daar is min wat jy daaraan kan doen.
"Ongelukkig sal log4j vir 'n geruime tyd by ons internetgebruikers spook," het Harman Singh, direkteur van die kuberveiligheidsdiensverskaffer Cyphere, per e-pos aan Lifewire gesê. "Aangesien hierdie kwessie van bedienerkant uitgebuit word, kan [mense] nie veel doen om die impak van 'n bedienerkompromie te vermy nie."
The Haunting
Die kwesbaarheid, genaamd Log4 Shell, is die eerste keer in Desember 2021 uiteengesit. In 'n telefooninligtingsessie het die direkteur van die Amerikaanse agentskap vir kuberveiligheid en infrastruktuursekuriteit (CISA), Jen Easterly, die kwesbaarheid beskryf as "een van die mees ernstig wat ek in my hele loopbaan gesien het, indien nie die ernstigste nie."
In 'n e-posuitruiling met Lifewire, het Pete Hay, onderrigleier by die kuberveiligheidstoets- en opleidingsmaatskappy SimSpace, gesê die omvang van die probleem kan gemeet word uit die samestelling van kwesbare dienste en toepassings van gewilde verskaffers soos Apple, Steam, Twitter, Amazon, LinkedIn, Tesla, en dosyne ander. Dit is nie verbasend dat die kuberveiligheidsgemeenskap met volle krag gereageer het, met Apache wat feitlik onmiddellik 'n pleister uitgesit het.
Deur hul bevindinge te deel, het Rezilion-navorsers gehoop dat 'n meerderheid van, indien nie alle, kwesbare bedieners reggemaak sou word, gegewe die massiewe hoeveelheid mediadekking rondom die fout. "Ons was verkeerd," skryf die verbaasde navorsers. "Ongelukkig is dinge ver van ideaal, en baie toepassings wat kwesbaar is vir Log4 Shell bestaan steeds in die natuur."
Die navorsers het die kwesbare gevalle gevind deur die Shodan Internet of Things (IoT) soekenjin te gebruik en glo dat die resultate net die punt van die ysberg is. Die werklike kwesbare aanvaloppervlak is baie groter.
Is jy in gevaar?
Ondanks die taamlik beduidende blootgestelde aanvalsoppervlak, het Hay geglo daar is goeie nuus vir die gemiddelde tuisgebruiker. "Die meerderheid van hierdie [Log4J] kwesbaarhede bestaan op toepassingsbedieners en dit is dus baie onwaarskynlik dat dit jou tuisrekenaar sal beïnvloed," het Hay gesê.
Jack Marsal, Senior Direkteur, Produkbemarking met die kuberveiligheidsverkoper WhiteSource, het egter daarop gewys dat mense heeltyd met toepassings op die internet interaksie het, van aanlyn inkopies tot aanlynspeletjies, wat hulle aan sekondêre aanvalle blootstel. 'n Gekompromitteerde bediener kan moontlik al die inligting wat die diensverskaffer oor hul gebruiker het, openbaar.
"Daar is geen manier waarop 'n individu seker kan wees dat die toepassingsbedieners waarmee hulle interaksie het nie kwesbaar is vir aanvalle nie," het Marsal gewaarsku. "Die sigbaarheid bestaan eenvoudig nie."
Ongelukkig is dinge ver van ideaal, en baie toepassings wat kwesbaar is vir Log4 Shell bestaan steeds in die natuur.
Op 'n positiewe noot het Singh daarop gewys dat sommige verskaffers dit vir tuisgebruikers redelik eenvoudig gemaak het om die kwesbaarheid aan te spreek. Hy het byvoorbeeld na die amptelike Minecraft-kennisgewing gewys en gesê dat mense wat die Java-uitgawe van die speletjie speel, eenvoudig alle lopende gevalle van die speletjie moet sluit en die Minecraft-lanseerder moet herbegin, wat die reggemaakte weergawe outomaties sal aflaai.
Die proses is 'n bietjie meer ingewikkeld en betrokke as jy nie seker is watter Java-toepassings jy op jou rekenaar gebruik nie. Hay het voorgestel om lêers met.jar-,.ear- of.war-uitbreidings te soek. Hy het egter bygevoeg die blote teenwoordigheid van hierdie lêers is nie genoeg om te bepaal of hulle aan die log4j-kwesbaarheid blootgestel is nie.
Hy het voorgestel dat mense die skrifte gebruik wat deur Carnegie Mellon Universiteit (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) uitgegee is om hul rekenaars te soek vir die kwesbaarheid. Die skrifte is egter nie grafies nie, en om dit te gebruik, moet na die opdragreël gaan.
Alles in ag genome, het Marsal geglo dat dit in vandag se gekoppelde wêreld aan almal is om hul beste pogings aan te wend om veilig te bly. Singh het ingestem en mense aangeraai om basiese rekenaarsekuriteitspraktyke te volg om op hoogte te bly van enige kwaadwillige aktiwiteit wat voortgesit word deur die uitbuiting van die kwesbaarheid.
"[Mense] kan seker maak dat hul stelsels en toestelle opgedateer is en eindpuntbeskerming in plek is," het Singh voorgestel. "Dit sal hulle help met enige bedrogwaarskuwings en voorkoming teen enige uitval van wilde uitbuitings."
