Key Takeaways
- Hiljade online servera i usluga su još uvijek izložene opasnoj i lako iskoristivoj ranjivosti loj4j, pronađite istraživače.
- Dok su primarne prijetnje sami serveri, izloženi serveri također mogu ugroziti krajnje korisnike, predlažu stručnjaci za kibernetičku sigurnost.
- Nažalost, većina korisnika malo toga može učiniti da riješi problem osim što slijedi najbolje sigurnosne prakse za radnu površinu.
Opasna ranjivost log4J odbija da umre, čak i mjesecima nakon što je ispravak za grešku koja se lako može iskoristiti stavljena na raspolaganje.
Istraživači kibernetičke sigurnosti u Rezilionu nedavno su otkrili preko 90.000 ranjivih aplikacija okrenutih prema internetu, uključujući preko 68.000 potencijalno ranjivih Minecraft servera čiji administratori još nisu primijenili sigurnosne zakrpe, izlažući njih i njihove korisnike sajber napadima. I tu malo možete učiniti.
"Nažalost, log4j će dugo proganjati nas korisnike interneta", rekao je Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere, za Lifewire putem e-pošte. "Pošto se ovaj problem iskorištava sa strane servera, [ljudi] ne mogu učiniti mnogo da izbjegnu uticaj kompromitacije servera."
The Haunting
Ranjivost, nazvana Log4 Shell, prvi put je detaljno opisana u decembru 2021. U telefonskom brifingu tada, direktorica američke agencije za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA), Jen Easterly, opisala je ranjivost kao "jednu od ozbiljno koje sam vidio u cijeloj svojoj karijeri, ako ne i najozbiljniji."
U razmjeni e-pošte s Lifewireom, Pete Hay, voditelj instrukcija u kompaniji za testiranje i obuku kibernetičke sigurnosti SimSpace, rekao je da se obim problema može procijeniti na osnovu kompilacije ranjivih usluga i aplikacija popularnih dobavljača kao što su Apple, Steam, Twitter, Amazon, LinkedIn, Tesla i desetine drugih. Nije iznenađujuće da je zajednica kibernetičke sigurnosti odgovorila punom snagom, a Apache je skoro odmah objavio zakrpu.
Dijeleći svoja otkrića, istraživači Reziliona su se nadali da će većina, ako ne i svi, ranjivi serveri biti zakrpljeni, s obzirom na ogromnu količinu medijske pokrivenosti oko greške. "Pogrešili smo", pišu iznenađeni istraživači. "Nažalost, stvari su daleko od idealnih, a mnoge aplikacije ranjive na Log4 Shell i dalje postoje u divljini."
Istraživači su pronašli ranjive slučajeve koristeći Shodan Internet of Things (IoT) pretraživač i vjeruju da su rezultati samo vrh ledenog brega. Stvarna ranjiva površina napada je mnogo veća.
Jeste li u opasnosti?
Uprkos prilično značajnoj izloženoj površini napada, Hay je vjerovao da postoje dobre vijesti za prosječnog kućnog korisnika. "Većina ovih [Log4J] ranjivosti postoji na serverima aplikacija i stoga je malo vjerovatno da će utjecati na vaš kućni računar," rekao je Hay.
Međutim, Jack Marsal, viši direktor marketinga proizvoda kod dobavljača kibernetičke sigurnosti WhiteSource, istakao je da ljudi stalno komuniciraju s aplikacijama širom interneta, od kupovine na mreži do igranja online igrica, izlažući ih sekundarnim napadima. Kompromitovani server može potencijalno otkriti sve informacije koje pružatelj usluga ima o svom korisniku.
"Ne postoji način da pojedinac može biti siguran da serveri aplikacija s kojima komuniciraju nisu podložni napadima," upozorio je Marsal. "Vidljivost jednostavno ne postoji."
Nažalost, stvari su daleko od idealnih, a mnoge aplikacije ranjive na Log4 Shell i dalje postoje u divljini.
Pozitivno, Singh je istakao da su neki dobavljači prilično jednostavnim kućnim korisnicima riješili ranjivost. Na primjer, ukazujući na službeno Minecraft obavještenje, rekao je da ljudi koji igraju Java izdanje igre moraju jednostavno zatvoriti sve pokrenute instance igre i ponovo pokrenuti Minecraft pokretač, koji će automatski preuzeti zakrpljenu verziju..
Proces je malo komplikovaniji i složeniji ako niste sigurni koje Java aplikacije koristite na svom računaru. Hay je predložio traženje datoteka sa ekstenzijama.jar,.ear ili.war. Međutim, dodao je da samo prisustvo ovih datoteka nije dovoljno da se utvrdi jesu li izloženi ranjivosti log4j.
Predložio je ljudima da koriste skripte koje je objavio Univerzitet Carnegie Mellon (CMU) Instituta za softversko inženjerstvo (SEI) Tim za spremnost za kompjuterske hitne slučajeve (CERT) kako bi pronašli ranjivost svojih računara. Međutim, skripte nisu grafičke i njihovo korištenje zahtijeva spuštanje do komandne linije.
S obzirom na sve, Marsal je vjerovao da je u današnjem povezanom svijetu na svima da ulože sve što mogu da ostanu sigurni. Singh se složio i savjetovao je ljude da slijede osnovne sigurnosne prakse na radnoj površini kako bi ostali u toku sa svim zlonamjernim aktivnostima koje se nastavljaju iskorištavanjem ranjivosti.
"[Ljudi] mogu biti sigurni da su njihovi sistemi i uređaji ažurirani i da je zaštita krajnjih tačaka postavljena", predložio je Singh. "Ovo bi im pomoglo sa svim upozorenjima na prevaru i prevencijom od bilo kakvih posljedica divljih eksploatacija."
