Դուք դեռ կարող եք վտանգի տակ լինել Log4J խոցելիությունից

Բովանդակություն:

Դուք դեռ կարող եք վտանգի տակ լինել Log4J խոցելիությունից
Դուք դեռ կարող եք վտանգի տակ լինել Log4J խոցելիությունից
Anonim

Հիմնական տանողներ

  • Հազարավոր առցանց սերվերներ և ծառայություններ դեռևս ենթարկվում են վտանգավոր և հեշտությամբ շահագործվող loj4j խոցելիությանը, գտնեք հետազոտողներ:
  • Չնայած առաջնային սպառնալիքները հենց սերվերներն են, բացահայտված սերվերները կարող են վտանգի ենթարկել նաև վերջնական օգտագործողներին, առաջարկում են կիբերանվտանգության փորձագետները:
  • Ցավոք, օգտատերերի մեծամասնությունը քիչ բան կարող է անել խնդիրը շտկելու համար, բացի աշխատասեղանի անվտանգության լավագույն գործելակերպին հետևելուց:
Image
Image

Վտանգավոր log4J խոցելիությունը հրաժարվում է մահանալ, նույնիսկ հեշտ շահագործվող սխալի շտկումից ամիսներ անց:

Rezilion-ի կիբերանվտանգության հետազոտողները վերջերս հայտնաբերել են ավելի քան 90,000 խոցելի ինտերնետ-հավելվածներ, այդ թվում՝ ավելի քան 68,000 պոտենցիալ խոցելի Minecraft սերվերներ, որոնց ադմինները դեռ չեն կիրառել անվտանգության պատչերը՝ նրանց և նրանց օգտատերերին ենթարկելով կիբերհարձակումների: Եվ քիչ բան կարող ես անել դրա մասին:

«Ցավոք, log4j-ը երկար ժամանակ կհետապնդի մեզ համացանցի օգտատերերին»,- Lifewire-ին էլփոստով ասաց Հարման Սինգհը, կիբերանվտանգության ծառայություններ մատուցող Cyphere-ի տնօրենը: «Քանի որ այս խնդիրը շահագործվում է սերվերի կողմից, [մարդիկ] չեն կարող շատ բան անել սերվերի փոխզիջման ազդեցությունից խուսափելու համար»:

The Haunting

Խոցելիությունը, որը կոչվում է Log4 Shell, առաջին անգամ մանրամասն ներկայացվել է 2021 թվականի դեկտեմբերին: Այն ժամանակ հեռախոսային ճեպազրույցում ԱՄՆ կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) տնօրեն Ջեն Իսթերլին նկարագրել է խոցելիությունը որպես «ամենից մեկը: լուրջ, որը ես տեսել եմ իմ ողջ կարիերայի ընթացքում, եթե ոչ ամենալուրջը:«

Lifewire-ի հետ էլեկտրոնային փոստի փոխանակման ժամանակ SimSpace կիբերանվտանգության թեստավորման և ուսուցման ընկերության ուսուցողական ղեկավար Փիթ Հեյն ասաց, որ խնդրի շրջանակը կարելի է գնահատել խոցելի ծառայություններից և հավելվածներից, ինչպիսիք են Apple-ը, Steam-ը:, Twitter, Amazon, LinkedIn, Tesla և տասնյակ ուրիշներ: Զարմանալի չէ, որ կիբերանվտանգության համայնքը արձագանքեց ամբողջ ուժով, ընդ որում Apache-ն գրեթե անմիջապես տեղադրեց կարկատելը:

Կիսվելով իրենց բացահայտումներով՝ Rezilion-ի հետազոտողները հույս ունեին, որ խոցելի սերվերների մեծ մասը, եթե ոչ բոլորը, կկարկատվեն՝ հաշվի առնելով սխալի շուրջ զանգվածային լրատվամիջոցների լուսաբանումը: «Մենք սխալվեցինք»,- գրում են զարմացած հետազոտողները։ «Ցավոք, ամեն ինչ հեռու է իդեալական լինելուց, և Log4 Shell-ի համար խոցելի շատ հավելվածներ դեռևս գոյություն ունեն վայրի բնության մեջ»:

Հետազոտողները հայտնաբերել են խոցելի դեպքեր՝ օգտագործելով Shodan Internet of Things (IoT) որոնողական համակարգը և կարծում են, որ արդյունքները այսբերգի միայն գագաթն են: Փաստացի խոցելի հարձակման մակերեսը շատ ավելի մեծ է:

Դուք վտանգի տակ եք?

Չնայած բավականին զգալի բաց հարձակման մակերեսին, Հեյը կարծում էր, որ կան լավ նորություններ սովորական տնային օգտագործողների համար: «Այս [Log4J] խոցելիության մեծ մասը գոյություն ունի հավելվածի սերվերների վրա և, հետևաբար, շատ քիչ հավանական է, որ ազդի ձեր տան համակարգչի վրա», - ասաց Հայը:

Սակայն, Ջեք Մարսալը՝ կիբերանվտանգության վաճառող WhiteSource-ի արտադրանքի մարքեթինգի ավագ տնօրենը, մատնանշեց, որ մարդիկ մշտապես շփվում են համացանցի հավելվածների հետ՝ սկսած առցանց գնումներից մինչև առցանց խաղեր խաղալը, նրանց ենթարկելով երկրորդական հարձակումների: Վտանգված սերվերը կարող է պոտենցիալ բացահայտել բոլոր այն տեղեկությունները, որոնք ծառայություններ մատուցողը պահում է իր օգտատիրոջ մասին:

«Չկա ոչ մի կերպ, որ անհատը կարող է վստահ լինել, որ հավելվածի սերվերները, որոնց հետ համագործակցում են, խոցելի չեն հարձակման համար», - զգուշացրել է Մարսալը: «Տեսանելիությունը պարզապես գոյություն չունի»:

Ցավոք, ամեն ինչ հեռու է իդեալական լինելուց, և Log4 Shell-ի համար խոցելի շատ հավելվածներ դեռևս գոյություն ունեն վայրի բնության մեջ:

Դրական նոտայի վրա՝ Սինգհը նշեց, որ որոշ վաճառողներ բավականին պարզ են դարձրել տնային օգտագործողների համար խոցելիությունը լուծելը: Օրինակ, մատնանշելով Minecraft-ի պաշտոնական ծանուցումը, նա ասաց, որ այն մարդկանց, ովքեր խաղում են խաղի Java տարբերակը, պարզապես պետք է փակեն խաղի բոլոր գործող օրինակները և վերագործարկեն Minecraft գործարկիչը, որն ավտոմատ կերպով կներբեռնի կարկատված տարբերակը::

Գործընթացը մի փոքր ավելի բարդ է և ներգրավված, եթե վստահ չեք, թե ինչ Java հավելվածներ եք աշխատում ձեր համակարգչում: Հայն առաջարկեց փնտրել ֆայլեր.jar,.ear կամ.war ընդլայնումներով: Այնուամենայնիվ, նա ավելացրեց, որ այս ֆայլերի միայն առկայությունը բավարար չէ պարզելու համար, թե արդյոք դրանք ենթարկվում են log4j խոցելիությանը:

Նա մարդկանց առաջարկեց օգտագործել Քարնեգի Մելլոնի համալսարանի (CMU) Ծրագրային ճարտարագիտության ինստիտուտի (SEI) Համակարգչային արտակարգ իրավիճակների պատրաստության թիմի (CERT) կողմից հրապարակված սկրիպտները՝ իրենց համակարգիչները խոցելիությունը հայտնաբերելու համար: Այնուամենայնիվ, սցենարները գրաֆիկական չեն, և դրանց օգտագործումը պահանջում է իջնել հրամանի տող:

Հաշվի առնելով բոլոր բաները՝ Մարսալը հավատում էր, որ այսօրվա փոխկապակցված աշխարհում ամեն ոք պետք է գործադրի իր լավագույն ջանքերը՝ ապահով մնալու համար: Սինգհը համաձայնել է և մարդկանց խորհուրդ է տվել հետևել աշխատասեղանի անվտանգության հիմնական պրակտիկաներին՝ հետևելու ցանկացած վնասակար գործողությունների, որոնք շարունակվում են օգտագործել խոցելիությունը:

«[Մարդիկ] կարող են համոզվել, որ իրենց համակարգերն ու սարքերը թարմացվում են, և վերջնակետի պաշտպանությունը գործում է», - առաջարկեց Սինգհը: «Սա կօգնի նրանց խարդախության մասին ահազանգերի և վայրի շահագործումների հետևանքների դեմ կանխարգելման հարցում»:

Խորհուրդ ենք տալիս: