Key takeaways
- Tusenvis av nettbaserte servere og tjenester er fortsatt utsatt for den farlige og lett utnyttbare loj4j-sårbarheten, finner forskere.
- Mens de primære truslene er serverne selv, kan utsatte servere også sette sluttbrukere i fare, foreslår eksperter på nettsikkerhet.
- Dessverre er det lite de fleste brukere kan gjøre for å fikse problemet i tillegg til å følge de beste sikkerhetsrutinene for skrivebordet.
Den farlige log4J-sårbarheten nekter å dø, selv måneder etter at en reparasjon for den lett utnyttbare feilen ble gjort tilgjengelig.
Sybersikkerhetsforskere ved Rezilion oppdaget nylig over 90 000 sårbare internettvendte applikasjoner, inkludert over 68 000 potensielt sårbare Minecraft-servere hvis administratorer ennå ikke har tatt i bruk sikkerhetsoppdateringene, noe som utsetter dem og brukerne deres for nettangrep. Og det er lite du kan gjøre med det.
"Dessverre vil log4j hjemsøke oss internettbrukere en god stund," sa Harman Singh, direktør for cybersikkerhetstjenesteleverandøren Cyphere, til Lifewire via e-post. "Ettersom dette problemet utnyttes fra serversiden, kan ikke [folk] gjøre mye for å unngå virkningen av et serverkompromiss."
The Haunting
Sårbarheten, k alt Log4 Shell, ble først beskrevet i desember 2021. I en telefonbriefing den gang beskrev direktøren for det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA), Jen Easterly, sårbarheten som en av de mest alvorlig som jeg har sett i hele min karriere, om ikke den mest seriøse.«
I en e-postutveksling med Lifewire sa Pete Hay, instruksjonsleder hos cybersikkerhetstest- og opplæringsselskapet SimSpace, at omfanget av problemet kan måles fra sammenstillingen av sårbare tjenester og applikasjoner fra populære leverandører som Apple, Steam, Twitter, Amazon, LinkedIn, Tesla og dusinvis av andre. Ikke overraskende svarte nettsikkerhetsfellesskapet med full kraft, og Apache la ut en oppdatering nesten umiddelbart.
Rezilion-forskere delte funnene sine og håpet at et flertall av, om ikke alle, sårbare servere ville ha blitt lappet, gitt den enorme mediedekningen rundt feilen. "Vi tok feil," skriver de overraskede forskerne. "Dessverre er ting langt fra ideelt, og mange applikasjoner som er sårbare for Log4 Shell eksisterer fortsatt i naturen."
Forskerne fant de sårbare tilfellene ved hjelp av Shodan Internet of Things (IoT) søkemotor og mener resultatene bare er toppen av isfjellet. Den faktiske sårbare angrepsflaten er mye større.
Er du i faresonen?
Til tross for den ganske betydelige utsatte angrepsoverflaten, trodde Hay at det er noen gode nyheter for den gjennomsnittlige hjemmebrukeren. "De fleste av disse [Log4J]-sårbarhetene eksisterer på applikasjonsservere og er derfor svært usannsynlig å påvirke hjemmedatamaskinen din," sa Hay.
Men Jack Marsal, seniordirektør for produktmarkedsføring hos cybersikkerhetsleverandøren WhiteSource, påpekte at folk samhandler med applikasjoner over internett hele tiden, fra netthandel til å spille online spill, og utsette dem for sekundære angrep. En kompromittert server kan potensielt avsløre all informasjon tjenesteleverandøren har om brukeren sin.
"Det er ingen måte en person kan være sikker på at applikasjonsserverne de samhandler med ikke er sårbare for angrep," advarte Marsal. "Synligheten eksisterer rett og slett ikke."
Ting er dessverre langt fra ideelt, og mange applikasjoner som er sårbare for Log4 Shell eksisterer fortsatt i naturen.
Positivt påpekte Singh at noen leverandører har gjort det ganske enkelt for hjemmebrukere å ta tak i sårbarheten. For eksempel, ved å peke på den offisielle Minecraft-meldingen, sa han at folk som spiller Java-utgaven av spillet ganske enkelt må lukke alle kjørende forekomster av spillet og starte Minecraft-starteren på nytt, som vil laste ned den oppdaterte versjonen automatisk.
Prosessen er litt mer komplisert og involvert hvis du ikke er sikker på hvilke Java-applikasjoner du kjører på datamaskinen din. Hay foreslo å se etter filer med filtypene.jar,.ear eller.war. Han la imidlertid til at bare tilstedeværelsen av disse filene ikke er nok til å avgjøre om de er utsatt for log4j-sårbarheten.
Han foreslo at folk skulle bruke skriptene som ble lagt ut av Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) for å tråle datamaskinene sine etter sårbarheten. Skriptene er imidlertid ikke grafiske, og bruk av dem krever å komme ned til kommandolinjen.
Alt tatt i betraktning, mente Marsal at i dagens tilkoblede verden er det opp til alle å gjøre sitt beste for å forbli sikker. Singh var enig og rådet folk til å følge grunnleggende sikkerhetspraksis for skrivebordet for å holde seg på toppen av all ondsinnet aktivitet som videreføres ved å utnytte sårbarheten.
"[Folk] kan sørge for at systemene og enhetene deres er oppdatert og at endepunktbeskyttelse er på plass," foreslo Singh. "Dette vil hjelpe dem med svindelvarsler og forebygging mot nedfall fra vill utnyttelse."