Ključni izsledki
- Na tisoče spletnih strežnikov in storitev je še vedno izpostavljenih nevarni ranljivosti loj4j, ki jo je enostavno izkoristiti, ugotavljajo raziskovalci.
- Medtem ko so glavne grožnje strežniki sami, lahko izpostavljeni strežniki ogrozijo tudi končne uporabnike, menijo strokovnjaki za kibernetsko varnost.
- Na žalost večina uporabnikov ne more storiti veliko, da bi odpravila težavo, razen upoštevanja najboljših praks za varnost namizja.
Nevarna ranljivost log4J noče umreti, tudi mesece po tem, ko je bil na voljo popravek za napako, ki jo je mogoče zlahka izkoristiti.
Raziskovalci kibernetske varnosti pri Rezilionu so nedavno odkrili več kot 90.000 ranljivih aplikacij, povezanih z internetom, vključno z več kot 68.000 potencialno ranljivimi strežniki Minecraft, katerih skrbniki še niso namestili varnostnih popravkov, zaradi česar so bili ti in njihovi uporabniki izpostavljeni kibernetskim napadom. In glede tega lahko malo storite.
"Na žalost bo log4j še nekaj časa preganjal nas uporabnike interneta," je za Lifewire po e-pošti povedal Harman Singh, direktor pri ponudniku storitev kibernetske varnosti Cyphere. "Ker se ta težava izkorišča s strani strežnika, [ljudje] ne morejo storiti veliko, da bi se izognili vplivu ogroženosti strežnika."
The Haunting
Ranljivost, imenovana Log4 Shell, je bila prvič podrobno opisana decembra 2021. V takratnem telefonskem brifingu je direktorica ameriške agencije za kibernetsko varnost in varnost infrastrukture (CISA) Jen Easterly ranljivost opisala kot "eno najbolj resno, kar sem jih videl v svoji celotni karieri, če ne kar najbolj resno."
V izmenjavi e-pošte z Lifewire je Pete Hay, vodja poučevanja pri podjetju za testiranje in usposabljanje kibernetske varnosti SimSpace, dejal, da je obseg težave mogoče oceniti s zbirko ranljivih storitev in aplikacij priljubljenih prodajalcev, kot sta Apple, Steam, Twitter, Amazon, LinkedIn, Tesla in na desetine drugih. Ni presenetljivo, da se je skupnost za kibernetsko varnost odzvala s polno močjo, tako da je Apache skoraj takoj izdal popravek.
Raziskovalci Reziliona so delili svoje ugotovitve in upali, da bi bila večina, če ne vsi, ranljivi strežniki popravljeni, glede na ogromno medijsko pokritost o napaki. Motili smo se, pišejo presenečeni raziskovalci. "Na žalost stvari še zdaleč niso idealne in številne aplikacije, ranljive za Log4 Shell, še vedno obstajajo v naravi."
Raziskovalci so našli ranljive instance z uporabo iskalnika Shodan Internet of Things (IoT) in menijo, da so rezultati le vrh ledene gore. Dejanska ranljiva površina napada je veliko večja.
Ali ste v nevarnosti?
Kljub precejšnji izpostavljeni napadalni površini je Hay verjel, da obstaja nekaj dobrih novic za povprečnega domačega uporabnika. "Večina teh [Log4J] ranljivosti obstaja na aplikacijskih strežnikih in je zato zelo malo verjetno, da bodo vplivale na vaš domači računalnik," je dejal Hay.
Vendar pa je Jack Marsal, višji direktor trženja izdelkov pri prodajalcu kibernetske varnosti WhiteSource, poudaril, da ljudje ves čas komunicirajo z aplikacijami po internetu, od spletnega nakupovanja do igranja spletnih iger, s čimer so izpostavljeni sekundarnim napadom. Ogrožen strežnik lahko potencialno razkrije vse informacije, ki jih ima ponudnik storitev o svojem uporabniku.
"Posameznik nikakor ne more biti prepričan, da aplikacijski strežniki, s katerimi komunicira, niso ranljivi za napad," je opozoril Marsal. "Vidnost preprosto ne obstaja."
Na žalost stvari še zdaleč niso idealne in številne aplikacije, ranljive za lupino Log4, še vedno obstajajo v naravi.
Pozitivno je, da je Singh poudaril, da so nekateri prodajalci domačim uporabnikom olajšali odpravljanje ranljivosti. Na primer, ko je pokazal na uradno obvestilo o Minecraftu, je rekel, da morajo ljudje, ki igrajo različico igre Java, preprosto zapreti vse primerke igre in znova zagnati zaganjalnik Minecraft, ki bo samodejno prenesel popravljeno različico.
Postopek je nekoliko bolj zapleten in zapleten, če niste prepričani, katere aplikacije Java uporabljate v računalniku. Hay je predlagal iskanje datotek s končnicami.jar,.ear ali.war. Vendar je dodal, da zgolj prisotnost teh datotek ni dovolj za ugotovitev, ali so izpostavljene ranljivosti log4j.
Ljudem je predlagal uporabo skriptov Inštituta za programsko inženirstvo (SEI) Univerze Carnegie Mellon (CMU) za pripravljenost za računalniške nujne primere (CERT), da bi iskali ranljivost svojih računalnikov. Vendar skripti niso grafični in njihova uporaba zahteva vstop v ukazno vrstico.
Upoštevajoč vse stvari, je Marsal verjel, da je v današnjem povezanem svetu odvisno od vseh, da se po najboljših močeh trudijo ostati varni. Singh se je strinjal in ljudem svetoval, naj upoštevajo osnovne varnostne prakse namizja, da ostanejo na tekočem z vsako zlonamerno dejavnostjo, ki se nadaljuje z izkoriščanjem ranljivosti.
»[Ljudje] lahko poskrbijo, da so njihovi sistemi in naprave posodobljeni in da so zaščite končnih točk nameščene,« je predlagal Singh. "To bi jim pomagalo pri morebitnih opozorilih o goljufijah in preprečevanju kakršnih koli posledic divjega izkoriščanja."
