A legfontosabb elvitelek
- A kutatók szerint online szerverek és szolgáltatások ezrei vannak még mindig kitéve a veszélyes és könnyen kihasználható loj4j sebezhetőségnek.
- Míg az elsődleges fenyegetést maguk a szerverek jelentik, a kitett szerverek a végfelhasználókat is veszélybe sodorhatják – javasolják a kiberbiztonsági szakértők.
- Sajnos a legtöbb felhasználó a legjobb asztali biztonsági gyakorlatok betartásán túl nemigen tudja megoldani a problémát.
A veszélyes log4J sebezhetőség nem hajlandó meghalni, még hónapokkal azután sem, hogy a könnyen kihasználható hiba javítását elérhetővé tették.
A Rezilion kiberbiztonsági kutatói a közelmúltban több mint 90 000 sebezhető internetes alkalmazást fedeztek fel, köztük több mint 68 000 potenciálisan sebezhető Minecraft szervert, amelyek adminisztrátorai még nem alkalmazták a biztonsági javításokat, így őket és felhasználóikat kibertámadásoknak teszik ki. És keveset tehetsz ellene.
"Sajnos a log4j még egy ideig kísérteni fog minket, internetezőket" - mondta Harman Singh, a Cyphere kiberbiztonsági szolgáltató igazgatója a Lifewire-nek e-mailben. "Mivel ezt a problémát szerveroldalról használják ki, [az emberek] nem sokat tehetnek a szerverkompromittálódás elkerülése érdekében."
A kísérteties
A Log4 Shell névre keresztelt sebezhetőséget először 2021 decemberében részletezték. Egy akkori telefonos tájékoztatón Jen Easterly, az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségének (CISA) igazgatója úgy jellemezte a sérülékenységet, mint „az egyik legveszélyesebb komoly, amit egész pályafutásom során láttam, ha nem a legkomolyabb."
A Lifewire-rel folytatott e-mail üzenetváltásban Pete Hay, a SimSpace kiberbiztonsági tesztelési és képzési vállalat oktatási vezetője elmondta, hogy a probléma mértéke a népszerű gyártók, például az Apple, a Steam, sebezhető szolgáltatások és alkalmazások összeállításából mérhető fel., Twitter, Amazon, LinkedIn, Tesla és több tucat másik. Nem meglepő módon a kiberbiztonsági közösség teljes erővel reagált, és az Apache szinte azonnal kiadott egy javítást.
Eredményeiket megosztva a Rezilion kutatói azt remélték, hogy a sebezhető szerverek többségét, ha nem az összeset, kijavították volna, tekintettel a hiba körüli hatalmas médiavisszhangra. "Tévedtünk" - írják a meglepett kutatók. "Sajnos a dolgok messze nem ideálisak, és sok, a Log4 Shellre sebezhető alkalmazás még mindig létezik a természetben."
A kutatók a Shodan Internet of Things (IoT) keresőmotor segítségével találták meg a sebezhető példányokat, és úgy vélik, hogy az eredmények csak a jéghegy csúcsát jelentik. A tényleges sebezhető támadási felület sokkal nagyobb.
Veszélyeztetett?
A meglehetősen jelentős támadási felület ellenére Hay úgy vélte, van néhány jó hír az átlagos otthoni felhasználó számára. "Ezen [Log4J] sebezhetőségek többsége alkalmazáskiszolgálókon található, és ezért nagyon valószínűtlen, hogy hatással lesznek az otthoni számítógépére" - mondta Hay.
Azonban Jack Marsal, a kiberbiztonsági szolgáltató, a WhiteSource termékmarketingért felelős vezető igazgatója rámutatott, hogy az emberek az interneten keresztül folyamatosan interakcióba lépnek az alkalmazásokkal, az online vásárlástól az online játékokig, így másodlagos támadásoknak teszik ki őket. A feltört szerver potenciálisan felfedheti a szolgáltató által a felhasználóval kapcsolatos összes információt.
"Nincs mód arra, hogy az egyén biztos legyen abban, hogy az alkalmazáskiszolgálók, amelyekkel kapcsolatba lépnek, nincsenek sebezhetőek a támadásokkal szemben" - figyelmeztetett Marsal. "A láthatóság egyszerűen nem létezik."
Sajnos a dolgok messze nem ideálisak, és sok, a Log4 Shellre sebezhető alkalmazás még mindig létezik vadon.
Pozitívumként Singh rámutatott, hogy egyes gyártók meglehetősen egyszerűvé tették az otthoni felhasználók számára a sérülékenység kezelését. Például a hivatalos Minecraft közleményre mutatva azt mondta, hogy azoknak, akik a játék Java kiadásával játszanak, egyszerűen be kell zárniuk a játék összes futó példányát, és újra kell indítaniuk a Minecraft indítóját, amely automatikusan letölti a javított verziót.
A folyamat egy kicsit bonyolultabb és bonyolultabb, ha nem biztos abban, hogy milyen Java-alkalmazásokat futtat a számítógépén. Hay azt javasolta, hogy keressenek.jar,.ear vagy.war kiterjesztésű fájlokat. Hozzátette azonban, hogy e fájlok puszta jelenléte nem elegendő annak megállapításához, hogy ki vannak-e téve a log4j sebezhetőségének.
Azt javasolta az embereknek, hogy használják a Carnegie Mellon Egyetem (CMU) Szoftvermérnöki Intézet (SEI) Computer Emergency Readiness Team (CERT) által kiadott szkripteket a biztonsági rés felkutatására. A szkriptek azonban nem grafikusak, és használatukhoz el kell jutni a parancssorhoz.
A Marsal úgy gondolta, hogy a mai összekapcsolt világban mindenkinek a dolga, hogy mindent megtesz a biztonság megőrzése érdekében. Singh beleegyezett, és azt tanácsolta az embereknek, hogy kövessék az alapvető asztali biztonsági gyakorlatokat, hogy ne maradjanak le a sebezhetőség kihasználásával járó rosszindulatú tevékenységekről.
"Az [emberek] megbizonyosodhatnak arról, hogy rendszereik és eszközeik frissítve vannak, és a végpontvédelem is a helyén van" - javasolta Singh. "Ez segít nekik a csalási figyelmeztetésekben és a vadon élő kizsákmányolásokból eredő esetleges kiesések megelőzésében."