Ключови изводи
- Хиляди онлайн сървъри и услуги все още са изложени на опасната и лесно използваема уязвимост loj4j, установяват изследователи.
- Въпреки че основните заплахи са самите сървъри, откритите сървъри също могат да изложат на риск крайните потребители, предполагат експерти по киберсигурност.
- За съжаление, повечето потребители не могат да направят много, за да решат проблема, освен да следват най-добрите практики за сигурност на работния плот.
Опасната уязвимост на log4J отказва да умре, дори месеци след като е налична корекция за лесно използваемия бъг.
Изследователите на киберсигурността в Rezilion наскоро откриха над 90 000 уязвими приложения, насочени към интернет, включително над 68 000 потенциално уязвими сървъра на Minecraft, чиито администратори все още не са приложили пачовете за сигурност, излагайки тях и техните потребители на кибератаки. И няма много какво да направите по въпроса.
"За съжаление, log4j ще преследва нас, потребителите на интернет за известно време", каза Харман Сингх, директор на доставчика на услуги за киберсигурност Cyphere, каза пред Lifewire по имейл. „Тъй като този проблем се използва от страната на сървъра, [хората] не могат да направят много, за да избегнат въздействието на компрометиране на сървъра.“
The Haunting
Уязвимостта, наречена Log4 Shell, беше описана за първи път през декември 2021 г. В телефонен брифинг тогава директорът на американската агенция за киберсигурност и сигурност на инфраструктурата (CISA), Джен Истърли, описа уязвимостта като „една от най- сериозно, което съм виждал в цялата си кариера, ако не и най-сериозното."
В обмен на имейл с Lifewire, Пийт Хей, ръководител на обучението в компанията за тестване и обучение по киберсигурност SimSpace, каза, че обхватът на проблема може да бъде преценен от компилацията от уязвими услуги и приложения от популярни доставчици като Apple, Steam, Twitter, Amazon, LinkedIn, Tesla и десетки други. Не е изненадващо, че общността за киберсигурност реагира с пълна сила, като Apache пусна корекция почти веднага.
Споделяйки своите констатации, изследователите на Rezilion се надяваха, че повечето, ако не и всички, уязвими сървъри ще бъдат коригирани, като се има предвид огромното количество медийно отразяване около грешката. „Грешахме“, пишат изненаданите изследователи. „За съжаление, нещата далеч не са идеални и много приложения, уязвими към Log4 Shell, все още съществуват в природата.“
Изследователите откриха уязвимите екземпляри, използвайки търсачката Shodan Internet of Things (IoT) и вярват, че резултатите са само върхът на айсберга. Действителната уязвима повърхност за атака е много по-голяма.
Изложени ли сте на риск?
Въпреки доста значителната открита повърхност за атака, Хей вярва, че има някои добри новини за средния домашен потребител. „По-голямата част от тези [Log4J] уязвимости съществуват на сървърите на приложения и следователно е много малко вероятно да засегнат домашния ви компютър,“каза Хей.
Въпреки това, Джак Марсал, старши директор, продуктов маркетинг към доставчика на киберсигурност WhiteSource, посочи, че хората взаимодействат с приложения в интернет през цялото време, от онлайн пазаруване до игра на онлайн игри, излагайки ги на вторични атаки. Компрометиран сървър може потенциално да разкрие цялата информация, която доставчикът на услуги притежава за своя потребител.
"Няма начин, по който човек може да бъде сигурен, че сървърите на приложения, с които взаимодейства, не са уязвими за атака", предупреди Марсал. „Видимостта просто не съществува.“
За съжаление, нещата далеч не са идеални и много приложения, уязвими към Log4 Shell, все още съществуват в природата.
Положително, Сингх посочи, че някои доставчици са улеснили домашните потребители справянето с уязвимостта. Например, посочвайки официалното известие на Minecraft, той каза, че хората, които играят Java изданието на играта, трябва просто да затворят всички работещи екземпляри на играта и да рестартират стартовия панел на Minecraft, който автоматично ще изтегли пакетираната версия.
Процесът е малко по-сложен и ангажиращ, ако не сте сигурни какви Java приложения изпълнявате на компютъра си. Хей предложи да се търсят файлове с разширения.jar,.ear или.war. Той обаче добави, че самото присъствие на тези файлове не е достатъчно, за да се определи дали са изложени на уязвимостта на log4j.
Той предложи на хората да използват скриптовете, пуснати от екипа за компютърна готовност при извънредни ситуации (CERT) на Института за софтуерно инженерство (SEI) на университета Карнеги Мелън (CMU), за да претърсят компютрите си за уязвимостта. Скриптовете обаче не са графични и използването им изисква навлизане в командния ред.
Вземайки предвид всички неща, Марсал вярваше, че в днешния свързан свят зависи от всеки да полага максимални усилия, за да остане защитен. Сингх се съгласи и посъветва хората да следват основни практики за сигурност на работния плот, за да бъдат в крак с всяка злонамерена дейност, увековечена чрез използване на уязвимостта.
"[Хората] могат да се уверят, че техните системи и устройства са актуализирани и защитата на крайните точки е налице", предложи Сингх. „Това би им помогнало с всякакви сигнали за измами и предотвратяване на евентуални последствия от диви експлоатирани действия.“