მთავარი წაღებები
- ათასობით ონლაინ სერვერი და სერვისი კვლავ ექვემდებარება სახიფათო და ადვილად ექსპლუატირებად loj4j დაუცველობას, იპოვეთ მკვლევარები.
- მიუხედავად იმისა, რომ ძირითადი საფრთხე თავად სერვერებია, გამოვლენილ სერვერებს შეუძლიათ საბოლოო მომხმარებლები რისკის ქვეშ დააყენონ, ვარაუდობენ კიბერუსაფრთხოების ექსპერტები.
- სამწუხაროდ, მომხმარებელთა უმეტესობას ცოტა რამ შეუძლია გააკეთოს პრობლემის მოსაგვარებლად, გარდა დესკტოპის უსაფრთხოების საუკეთესო პრაქტიკის დაცვისა.
სახიფათო log4J დაუცველობა უარს ამბობს სიკვდილზე, თუნდაც რამდენიმე თვის შემდეგ, რაც ხელმისაწვდომი გახდა ადვილად ექსპლუატირებადი ხარვეზის გამოსწორება.
კიბერუსაფრთხოების მკვლევარებმა Rezilion-ში ცოტა ხნის წინ აღმოაჩინეს 90 000-ზე მეტი დაუცველი აპლიკაცია, რომელიც დაკავშირებულია ინტერნეტთან, მათ შორის 68 000-ზე მეტი პოტენციურად დაუცველი Minecraft სერვერი, რომელთა ადმინისტრატორებს ჯერ არ გამოუყენებიათ უსაფრთხოების პატჩები, რაც მათ და მათ მომხმარებლებს ემუქრება კიბერთავდასხმები. და ცოტა რამის გაკეთება შეგიძლია.
"სამწუხაროდ, log4j გვადევნებს ინტერნეტის მომხმარებლებს საკმაოდ დიდი ხნით", განუცხადა ჰარმან სინგმა, კიბერუსაფრთხოების სერვისის პროვაიდერის Cyphere-ის დირექტორმა Lifewire-ს ელექტრონული ფოსტით. "რადგან ეს საკითხი გამოიყენება სერვერის მხრიდან, [ადამიანებს] ბევრი რამის გაკეთება არ შეუძლიათ სერვერის კომპრომისის ზემოქმედების თავიდან ასაცილებლად."
Haunting
დაუცველობა, სახელწოდებით Log4 Shell, პირველად დეტალურად იქნა აღწერილი 2021 წლის დეკემბერში. მაშინდელ სატელეფონო ბრიფინგზე აშშ-ის კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA) დირექტორმა ჯენ ისტერლიმ აღწერა დაუცველობა, როგორც „ერთ-ერთი ყველაზე სერიოზული, რომელიც მინახავს მთელი ჩემი კარიერის განმავლობაში, თუ არა ყველაზე სერიოზული."
Lifewire-თან ელფოსტის გაცვლისას, პიტ ჰეიმ, კიბერუსაფრთხოების ტესტირებისა და ტრენინგის კომპანია SimSpace-ის ინსტრუქციულმა ლიდერმა, თქვა, რომ პრობლემის ფარგლები შეიძლება შეფასდეს დაუცველი სერვისებისა და აპლიკაციების შედგენიდან პოპულარული მომწოდებლებისგან, როგორიცაა Apple, Steam., Twitter, Amazon, LinkedIn, Tesla და ათობით სხვა. გასაკვირი არ არის, რომ კიბერუსაფრთხოების საზოგადოებამ უპასუხა მთელი ძალით, აპაჩიმ თითქმის მაშინვე გამოაქვეყნა პატჩი.
მათი დასკვნების გაზიარებით, Rezilion-ის მკვლევარები იმედოვნებდნენ, რომ დაუცველი სერვერების უმეტესი ნაწილი, თუ არა ყველა, შეცვლილი იქნებოდა, იმის გათვალისწინებით, რომ მასობრივი მედია გაშუქება იყო ამ ხარვეზის გარშემო. "ჩვენ ვცდებოდით", - წერენ გაკვირვებული მკვლევარები. "სამწუხაროდ, ყველაფერი შორს არის იდეალურისგან და Log4 Shell-ის მიმართ დაუცველი მრავალი აპლიკაცია ჯერ კიდევ არსებობს ბუნებაში."
მკვლევარებმა აღმოაჩინეს დაუცველი შემთხვევები Shodan Internet of Things (IoT) საძიებო სისტემის გამოყენებით და მიაჩნიათ, რომ შედეგები მხოლოდ აისბერგის მწვერვალია. ფაქტობრივი დაუცველი თავდასხმის ზედაპირი გაცილებით დიდია.
რისკის ქვეშ ხართ?
მიუხედავად საკმაოდ მნიშვნელოვანი გამოვლენილი თავდასხმის ზედაპირისა, ჰეის სჯეროდა, რომ კარგი ამბავია ჩვეულებრივი სახლის მომხმარებლისთვის. „ამ [Log4J] დაუცველობის უმეტესი ნაწილი არსებობს აპლიკაციის სერვერებზე და, შესაბამისად, ნაკლებად სავარაუდოა, რომ გავლენა მოახდინოს თქვენს სახლის კომპიუტერზე“, - თქვა ჰეიმ.
თუმცა, ჯეკ მარსალმა, პროდუქტის მარკეტინგის უფროსმა დირექტორმა კიბერუსაფრთხოების გამყიდველთან WhiteSource-თან ერთად, აღნიშნა, რომ ადამიანები მუდმივად ურთიერთობენ აპლიკაციებთან ინტერნეტის მასშტაბით, ონლაინ შოპინგიდან ონლაინ თამაშების თამაშებამდე, რაც მათ მეორად თავდასხმებს ემუქრება. გაფუჭებულ სერვერს შეუძლია პოტენციურად გამოავლინოს ყველა ინფორმაცია, რომელსაც სერვისის პროვაიდერი ფლობს მომხმარებლის შესახებ.
"არ არსებობს საშუალება, რომ ინდივიდი იყოს დარწმუნებული, რომ აპლიკაციის სერვერები, რომლებთანაც ისინი ურთიერთობენ, არ არიან დაუცველები თავდასხმისთვის", გააფრთხილა მარსალმა. "ხილვადობა უბრალოდ არ არსებობს."
სამწუხაროდ, ყველაფერი შორს არის იდეალურისგან და Log4 Shell-ის მიმართ დაუცველი ბევრი აპლიკაცია ჯერ კიდევ არსებობს ბუნებაში.
დადებითად, სინგმა აღნიშნა, რომ ზოგიერთმა გამყიდველმა სახლის მომხმარებლებისთვის საკმაოდ მარტივი გახადა დაუცველობის მოგვარება. მაგალითად, მან მიუთითა Minecraft-ის ოფიციალურ შეტყობინებაზე, მან თქვა, რომ ადამიანებს, რომლებიც თამაშობენ თამაშის Java ვერსიას, უბრალოდ უნდა დახურონ თამაშის ყველა გაშვებული ინსტანცია და გადატვირთონ Minecraft გამშვები, რომელიც ავტომატურად ჩამოტვირთავს დაყენებულ ვერსიას.
პროცესი ცოტა უფრო რთული და ჩართულია, თუ არ ხართ დარწმუნებული, რომელ Java აპლიკაციებს უშვებთ თქვენს კომპიუტერში. ჰეიმ შემოგვთავაზა ფაილების ძებნა.jar,.ear ან.war გაფართოებებით. თუმცა, მან დასძინა, რომ ამ ფაილების მხოლოდ არსებობა საკმარისი არ არის იმის დასადგენად, არიან თუ არა ისინი log4j დაუცველობის წინაშე.
მან შესთავაზა ხალხს გამოიყენონ კარნეგი მელონის უნივერსიტეტის (CMU) პროგრამული უზრუნველყოფის ინჟინერიის ინსტიტუტის (SEI) კომპიუტერული გადაუდებელი დახმარების ჯგუფის (CERT) მიერ გამოქვეყნებული სკრიპტები, რათა დაიცვან თავიანთი კომპიუტერები დაუცველობისთვის. თუმცა, სკრიპტები არ არის გრაფიკული და მათი გამოყენება მოითხოვს ბრძანების სტრიქონზე გადასვლას.
ყველაფრის გათვალისწინებით, მარსალი თვლიდა, რომ დღევანდელ დაკავშირებულ სამყაროში, ყველას ევალება გამოიყენოს მაქსიმალური ძალისხმევა უსაფრთხოების შესანარჩუნებლად. სინგი დათანხმდა და ურჩია ადამიანებს, დაიცვან დესკტოპის უსაფრთხოების ძირითადი პრაქტიკა, რათა თვალი ადევნონ ნებისმიერ მავნე აქტივობას, რომელიც განაგრძობს დაუცველობის გამოყენებას.
"[ადამიანებს] შეუძლიათ დარწმუნდნენ, რომ მათი სისტემები და მოწყობილობები განახლებულია და საბოლოო წერტილის დაცვა არსებობს", - შესთავაზა სინგმა. "ეს მათ დაეხმარება თაღლითობის შესახებ გაფრთხილებებში და თავიდან აიცილონ ველური ექსპლუატაციის შედეგები."
