Klíčové poznatky
- Tisíce online serverů a služeb jsou stále vystaveny nebezpečné a snadno zneužitelné zranitelnosti loj4j, vyhledejte výzkumníky.
- I když jsou primární hrozbou samotné servery, nechráněné servery mohou také ohrozit koncové uživatele, navrhují odborníci na kybernetickou bezpečnost.
- Většina uživatelů bohužel může pro vyřešení problému udělat jen málo, kromě dodržování nejlepších postupů zabezpečení počítače.
Nebezpečná zranitelnost log4J odmítá zemřít ani měsíce poté, co byla k dispozici oprava snadno zneužitelné chyby.
Výzkumníci kybernetické bezpečnosti z Rezilion nedávno objevili přes 90 000 zranitelných internetových aplikací, včetně více než 68 000 potenciálně zranitelných serverů Minecraft, jejichž administrátoři dosud neaplikovali bezpečnostní záplaty, čímž je i jejich uživatele vystavili kybernetickým útokům. A máloco s tím můžete udělat.
"Bohužel, log4j bude nás uživatele internetu pronásledovat ještě nějakou dobu," řekl Lifewire e-mailem Harman Singh, ředitel poskytovatele služeb kybernetické bezpečnosti Cyphere. "Vzhledem k tomu, že tento problém je využíván ze strany serveru, [lidé] nemohou mnoho udělat, aby se vyhnuli dopadu kompromisu serveru."
The Haunting
Zranitelnost, nazvaná Log4 Shell, byla poprvé podrobně popsána v prosinci 2021. Tehdy ředitelka americké agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) Jen Easterlyová na telefonickém brífinku popsala zranitelnost jako „jednu z nejvíce vážné, které jsem viděl za celou svou kariéru, ne-li nejvážnější."
V e-mailové výměně s Lifewire Pete Hay, vedoucí instrukcí ve společnosti SimSpace pro testování a školení kybernetické bezpečnosti, uvedl, že rozsah problému lze změřit z kompilace zranitelných služeb a aplikací od oblíbených prodejců, jako jsou Apple, Steam, Twitter, Amazon, LinkedIn, Tesla a desítky dalších. Není překvapením, že komunita kybernetické bezpečnosti zareagovala plnou silou a Apache vydal opravu téměř okamžitě.
Výzkumníci z Rezilionu se podělili o svá zjištění a doufali, že většina, ne-li všechny, zranitelné servery budou opraveny, vzhledem k obrovskému množství mediálního pokrytí kolem chyby. "Mýlili jsme se," píší překvapeni výzkumníci. "Bohužel věci nejsou ani zdaleka ideální a mnoho aplikací zranitelných prostředím Log4 Shell stále existuje ve volné přírodě."
Výzkumníci našli zranitelné případy pomocí vyhledávače Shodan Internet of Things (IoT) a věří, že výsledky jsou jen špičkou ledovce. Skutečná zranitelná plocha útoku je mnohem větší.
Jste v ohrožení?
Navzdory poměrně značnému odhalenému povrchu útoku Hay věřil, že pro průměrného domácího uživatele existují dobré zprávy. "Většina těchto [Log4J] zranitelností existuje na aplikačních serverech, a proto je velmi nepravděpodobné, že by ovlivnily váš domácí počítač, " řekl Hay.
Jack Marsal, vrchní ředitel produktového marketingu dodavatele kybernetické bezpečnosti WhiteSource, však poukázal na to, že lidé neustále komunikují s aplikacemi na internetu, od online nakupování po hraní online her, a vystavují je tak sekundárním útokům. Napadený server může potenciálně odhalit všechny informace, které poskytovatel služeb o svém uživateli uchovává.
"Neexistuje žádný způsob, jak by si jednotlivec mohl být jistý, že aplikační servery, se kterými interagují, nejsou zranitelné vůči útoku," varoval Marsal. "Viditelnost prostě neexistuje."
Bohužel, věci nejsou zdaleka ideální a mnoho aplikací zranitelných Log4 Shell stále existuje ve volné přírodě.
Pozitivní je, že Singh poukázal na to, že někteří prodejci pro domácí uživatele poměrně zjednodušili řešení této chyby zabezpečení. Například s odkazem na oficiální oznámení Minecraftu řekl, že lidé, kteří hrají Java edici hry, musí jednoduše zavřít všechny spuštěné instance hry a restartovat spouštěč Minecraftu, který automaticky stáhne opravenou verzi.
Tento proces je trochu složitější a složitější, pokud si nejste jisti, jaké Java aplikace na svém počítači používáte. Hay navrhl hledat soubory s příponami.jar,.ear nebo.war. Dodal však, že pouhá přítomnost těchto souborů k určení, zda jsou vystaveny zranitelnosti log4j, nestačí.
Navrhl, aby lidé používali skripty vydané Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) k vyhledávání zranitelnosti na svých počítačích. Skripty však nejsou grafické a jejich použití vyžaduje přejít na příkazový řádek.
Po zvážení všech věcí Marsal věřil, že v dnešním propojeném světě je na každém, aby vynaložil maximální úsilí, aby zůstal v bezpečí. Singh souhlasil a poradil lidem, aby se řídili základními bezpečnostními postupy pro stolní počítače, aby si udrželi přehled o jakékoli škodlivé činnosti udržované zneužíváním této chyby zabezpečení.
„[Lidé] se mohou ujistit, že jejich systémy a zařízení jsou aktualizovány a že jsou na místě ochrany koncových bodů,“navrhl Singh. "Pomohlo by jim to s případnými varováními o podvodech a prevencí proti jakýmkoli spadům z divokého využívání."
