Ključni podaci za van
- Tisuće mrežnih poslužitelja i usluga još uvijek je izloženo opasnoj i lako iskoristivoj loj4j ranjivosti, otkrili su istraživači.
- Iako su primarne prijetnje sami poslužitelji, izloženi poslužitelji također mogu ugroziti krajnje korisnike, sugeriraju stručnjaci za kibernetičku sigurnost.
- Nažalost, većina korisnika malo toga može učiniti kako bi riješili problem osim što slijede najbolje sigurnosne prakse za radnu površinu.
Opasna log4J ranjivost odbija umrijeti, čak i mjesecima nakon što je popravak za lako iskoristivu pogrešku postao dostupan.
Istraživači kibernetičke sigurnosti u Rezilionu nedavno su otkrili više od 90 000 ranjivih aplikacija okrenutih prema internetu, uključujući više od 68 000 potencijalno ranjivih Minecraft poslužitelja čiji administratori još nisu primijenili sigurnosne zakrpe, izlažući njih i njihove korisnike kibernetičkim napadima. I malo toga možete učiniti u vezi s tim.
"Nažalost, log4j će još neko vrijeme proganjati nas korisnike interneta", rekao je za Lifewire putem e-pošte Harman Singh, direktor pružatelja usluga kibernetičke sigurnosti Cyphere. "Budući da se ovaj problem iskorištava sa strane poslužitelja, [ljudi] ne mogu učiniti mnogo da izbjegnu utjecaj kompromitacije poslužitelja."
The Haunting
Ranjivost, nazvana Log4 Shell, prvi put je detaljno opisana u prosincu 2021. U telefonskom brifingu tada, direktorica američke agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Jen Easterly, opisala je ranjivost kao "jednu od najvećih ozbiljna kakvu sam vidio u cijeloj karijeri, ako ne i najozbiljnija."
U razmjeni e-pošte s Lifewireom, Pete Hay, Instructional Lead u tvrtki za testiranje i obuku kibernetičke sigurnosti SimSpace, rekao je da se opseg problema može procijeniti iz kompilacije ranjivih usluga i aplikacija popularnih dobavljača kao što su Apple, Steam, Twitter, Amazon, LinkedIn, Tesla i deseci drugih. Nije iznenađujuće da je zajednica za cyber sigurnost odgovorila punom snagom, a Apache je gotovo odmah objavio zakrpu.
Dijeleći svoja otkrića, istraživači Reziliona nadali su se da će većina, ako ne i svi, ranjivi poslužitelji biti zakrpani, s obzirom na ogromnu količinu medijske pokrivenosti o bugu. “Bili smo u krivu”, pišu iznenađeni istraživači. "Nažalost, stvari su daleko od idealnih i mnoge aplikacije ranjive na Log4 Shell još uvijek postoje."
Istraživači su pronašli ranjive instance pomoću tražilice Shodan Internet of Things (IoT) i vjeruju da su rezultati samo vrh ledenog brijega. Stvarna ranjiva površina napada puno je veća.
Jeste li u opasnosti?
Unatoč prilično značajnoj izloženoj površini za napad, Hay je vjerovao da postoje dobre vijesti za prosječnog kućnog korisnika. "Većina ovih [Log4J] ranjivosti postoji na aplikacijskim poslužiteljima i stoga je malo vjerojatno da će utjecati na vaše kućno računalo," rekao je Hay.
Međutim, Jack Marsal, viši direktor marketinga proizvoda pri dobavljaču kibernetičke sigurnosti WhiteSource, istaknuo je da ljudi cijelo vrijeme stupaju u interakciju s aplikacijama na internetu, od online kupnje do igranja online igara, izlažući ih sekundarnim napadima. Kompromitirani poslužitelj potencijalno može otkriti sve informacije koje davatelj usluga ima o svom korisniku.
"Ne postoji način na koji pojedinac može biti siguran da aplikacijski poslužitelji s kojima komuniciraju nisu ranjivi na napade", upozorio je Marsal. "Vidljivost jednostavno ne postoji."
Nažalost, stvari su daleko od idealnih i mnoge aplikacije ranjive na Log4 Shell još uvijek postoje u divljini.
Pozitivno, Singh je istaknuo da su neki dobavljači kućnim korisnicima učinili prilično jednostavnim rješavanje ranjivosti. Na primjer, ukazujući na službenu obavijest o Minecraftu, rekao je da ljudi koji igraju Java izdanje igre trebaju jednostavno zatvoriti sve pokrenute instance igre i ponovno pokrenuti Minecraft pokretač, koji će automatski preuzeti zakrpanu verziju.
Proces je malo kompliciraniji i složeniji ako niste sigurni koje Java aplikacije pokrećete na svom računalu. Hay je predložio traženje datoteka s ekstenzijama.jar,.ear ili.war. Međutim, dodao je da sama prisutnost ovih datoteka nije dovoljna da se utvrdi jesu li izložene ranjivosti log4j.
Predložio je ljudima da koriste skripte koje je objavio tim za računalnu spremnost (CERT) Instituta za softversko inženjerstvo (SEI) Sveučilišta Carnegie Mellon (CMU) kako bi potražili ranjivost na svojim računalima. Međutim, skripte nisu grafičke i njihova upotreba zahtijeva pristup naredbenom retku.
Kada se sve uzme u obzir, Marsal je vjerovao da je u današnjem povezanom svijetu na svima da daju sve od sebe kako bi ostali sigurni. Singh se složio i savjetovao ljudima da slijede osnovne sigurnosne prakse za stolna računala kako bi ostali u tijeku sa svim zlonamjernim aktivnostima koje se nastavljaju iskorištavanjem ranjivosti.
"[Ljudi] se mogu pobrinuti da njihovi sustavi i uređaji budu ažurirani i da su zaštite krajnjih točaka postavljene", predložio je Singh. "To bi im pomoglo s upozorenjima o prijevarama i prevencijom od bilo kakvih posljedica divljeg iskorištavanja."
