Kľúčové poznatky
- Tisíce online serverov a služieb sú stále vystavené nebezpečnej a ľahko zneužiteľnej zraniteľnosti loj4j, nájdite výskumníkov.
- Hoci primárnou hrozbou sú samotné servery, vystavené servery môžu ohroziť aj koncových používateľov, navrhujú odborníci na kybernetickú bezpečnosť.
- Bohužiaľ, väčšina používateľov môže na vyriešenie problému urobiť len málo, okrem dodržiavania najlepších postupov zabezpečenia počítača.
Nebezpečná zraniteľnosť log4J odmieta zomrieť ani mesiace po sprístupnení opravy ľahko zneužiteľnej chyby.
Výskumníci kybernetickej bezpečnosti z Rezilion nedávno objavili viac ako 90 000 zraniteľných internetových aplikácií vrátane viac ako 68 000 potenciálne zraniteľných serverov Minecraft, ktorých správcovia ešte neaplikovali bezpečnostné záplaty, čím ich a ich používateľov vystavili kybernetickým útokom. A s tým môžete urobiť len málo.
"Bohužiaľ, log4j nás používateľov internetu bude prenasledovať ešte nejaký čas," povedal pre Lifewire e-mailom Harman Singh, riaditeľ poskytovateľa služieb kybernetickej bezpečnosti Cyphere. „Keďže tento problém sa využíva na strane servera, [ľudia] nemôžu urobiť veľa, aby sa vyhli dopadu kompromisu servera.“
The Haunting
Zraniteľnosť s názvom Log4 Shell bola prvýkrát podrobne popísaná v decembri 2021. Vtedy na telefonickom brífingu riaditeľka americkej agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) Jen Easterly opísala zraniteľnosť ako „jednu z najčastejších vážne, ktoré som videl počas celej svojej kariéry, ak nie najvážnejšie."
V e-mailovej výmene s Lifewire Pete Hay, vedúci inštrukcií v testovacej a školiacej spoločnosti SimSpace v oblasti kybernetickej bezpečnosti, uviedol, že rozsah problému možno zmerať na základe kompilácie zraniteľných služieb a aplikácií od obľúbených predajcov, ako sú Apple, Steam, Twitter, Amazon, LinkedIn, Tesla a desiatky ďalších. Nie je prekvapením, že komunita kybernetickej bezpečnosti zareagovala plnou silou, pričom Apache vydal opravu takmer okamžite.
Pri zdieľaní svojich zistení výskumníci spoločnosti Rezilion dúfali, že väčšina, ak nie všetky, zraniteľné servery budú opravené, vzhľadom na obrovské množstvo mediálneho pokrytia okolo chyby. „Mýlili sme sa,“píšu prekvapení výskumníci. „Bohužiaľ, veci nie sú ani zďaleka ideálne a mnoho aplikácií citlivých na Log4 Shell stále existuje vo voľnej prírode.“
Výskumníci našli zraniteľné prípady pomocou vyhľadávacieho nástroja Shodan Internet of Things (IoT) a veria, že výsledky sú len špičkou ľadovca. Skutočná zraniteľná plocha útoku je oveľa väčšia.
Ste v ohrození?
Napriek pomerne značnému exponovanému povrchu útoku, Hay veril, že pre priemerného domáceho používateľa existuje niekoľko dobrých správ. „Väčšina týchto [Log4J] zraniteľností existuje na aplikačných serveroch, a preto je veľmi nepravdepodobné, že by ovplyvnili váš domáci počítač,“povedal Hay.
Avšak Jack Marsal, hlavný riaditeľ produktového marketingu dodávateľa kybernetickej bezpečnosti WhiteSource, poukázal na to, že ľudia neustále interagujú s aplikáciami na internete, od online nakupovania až po hranie online hier, čím sú vystavení sekundárnym útokom. Kompromitovaný server môže potenciálne odhaliť všetky informácie, ktoré má poskytovateľ služieb o svojom používateľovi.
"Nie je možné, aby si jednotlivec mohol byť istý, že aplikačné servery, s ktorými interagujú, nie sú zraniteľné voči útoku," varoval Marsal. "Viditeľnosť jednoducho neexistuje."
Bohužiaľ, veci nie sú ani zďaleka ideálne a mnohé aplikácie citlivé na Log4 Shell stále existujú vo voľnej prírode.
Pozitívne je, že Singh poukázal na to, že niektorí predajcovia domácim používateľom pomerne zjednodušili riešenie tejto zraniteľnosti. Napríklad, poukazujúc na oficiálne oznámenie Minecraft, povedal, že ľudia, ktorí hrajú Java edíciu hry, musia jednoducho zavrieť všetky spustené inštancie hry a reštartovať spúšťač Minecraftu, ktorý automaticky stiahne opravenú verziu.
Tento proces je trochu komplikovanejší a zložitejší, ak si nie ste istí, aké aplikácie Java používate na svojom počítači. Hay navrhol hľadať súbory s príponami.jar,.ear alebo.war. Dodal však, že samotná prítomnosť týchto súborov nestačí na určenie, či sú vystavené zraniteľnosti log4j.
Navrhol, aby ľudia používali skripty, ktoré zverejnil Carnegie Mellon University (CMU) Inštitút softvérového inžinierstva (SEI) Computer Emergency Readiness Team (CERT) na vyhľadávanie zraniteľnosti svojich počítačov. Skripty však nie sú grafické a ich použitie si vyžaduje prejsť na príkazový riadok.
Po zvážení všetkých vecí Marsal veril, že v dnešnom prepojenom svete je na každom, aby vynaložil maximálne úsilie na zachovanie bezpečnosti. Singh súhlasil a poradil ľuďom, aby dodržiavali základné bezpečnostné postupy pre stolné počítače, aby zostali pod kontrolou akejkoľvek zákernej aktivity, ktorá sa prejavuje zneužívaním tejto zraniteľnosti.
„[Ľudia] sa môžu uistiť, že ich systémy a zariadenia sú aktualizované a že sú na mieste ochrany koncových bodov,“navrhol Singh. „Pomohlo by im to s akýmikoľvek varovaniami o podvodoch a prevenciou proti akýmkoľvek následkom z divokého vykorisťovania.“
