Негізгі ұсыныстар
- Мыңдаған желілік серверлер мен қызметтер әлі де қауіпті және оңай пайдаланылатын loj4j осалдығына ұшырайды, зерттеушілерді табыңыз.
- Негізгі қауіп-қатер серверлердің өздері болса да, ашық серверлер соңғы пайдаланушыларды да қауіп-қатерге душар етуі мүмкін, киберқауіпсіздік мамандарына кеңес беріңіз.
- Өкінішке орай, пайдаланушылардың көпшілігі жұмыс үстелі қауіпсіздігінің ең жақсы тәжірибелерін орындаудан басқа, мәселені шешу үшін аз нәрсе жасай алады.
Қауіпті log4J осалдығы, тіпті оңай пайдаланатын қатені түзету қолжетімді болғаннан кейін бірнеше ай өтсе де, өлуден бас тартады.
Rezilion компаниясының киберқауіпсіздік зерттеушілері жақында 90 000-нан астам осал интернет қолданбаларын, соның ішінде әкімшілері қауіпсіздік патчтарын қолданбаған 68 000 ықтимал осал Minecraft серверлерін анықтады, бұл оларды және олардың пайдаланушыларын кибершабуылдарға ұшыратады. Бұл туралы сіз жасай алатын нәрсе аз.
"Өкінішке орай, log4j бізге интернет қолданушыларын біраз уақытқа дейін қудалайды", - деді Харман Сингх, Cyphere киберқауіпсіздік қызмет провайдерінің директоры Lifewire-ке электрондық пошта арқылы. "Бұл мәселе сервер тарапынан пайдаланылғандықтан, [адамдар] сервердің бұзылуының әсерін болдырмау үшін көп нәрсе істей алмайды."
The Haunting
Log4 Shell деп аталатын осалдық туралы алғаш рет 2021 жылдың желтоқсанында егжей-тегжейлі мәлімет берілген. Сол кездегі телефон брифингінде АҚШ киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігінің (CISA) директоры Джен Истерли осалдықты «ең көп кездесетіндердің бірі» деп сипаттады. Мен бүкіл мансабымда көрген маңызды, ең маңыздысы болмаса."
Lifewire-пен электрондық хат алмасуда, SimSpace киберқауіпсіздікті тестілеу және оқыту компаниясының нұсқаушысы Пит Хэй мәселенің ауқымын Apple, Steam сияқты танымал жеткізушілердің осал қызметтері мен қосымшаларының жинақталуынан анықтауға болатынын айтты., Twitter, Amazon, LinkedIn, Tesla және басқа да ондаған. Таңқаларлық емес, киберқауіпсіздік қауымдастығы толық күшпен жауап берді, Apache дерлік патчты шығарды.
Нәтижелерімен бөлісе отырып, Rezilion зерттеушілері қате туралы бұқаралық ақпарат құралдарында жаппай қамтылғанын ескере отырып, осал серверлердің барлығы болмаса да, көпшілігі патчталған болар еді деп үміттенді. «Біз қателестік», - деп жазады таң қалған зерттеушілер. "Өкінішке орай, бәрі идеалдан алыс және Log4 Shell-ге осал көптеген қолданбалар табиғатта әлі де бар."
Зерттеушілер Shodan Internet of Things (IoT) іздеу жүйесін пайдаланып осал жағдайларды тапты және нәтижелер айсбергтің ұшы ғана деп есептейді. Нақты осал шабуыл беті әлдеқайда үлкен.
Сізге қауіп бар ма?
Шабуылдың өте маңызды бетіне қарамастан, Хей қарапайым үй пайдаланушысы үшін жақсы жаңалық бар деп есептеді. "Осы [Log4J] осалдықтарының көпшілігі қолданба серверлерінде бар, сондықтан сіздің үй компьютеріңізге әсер етуі екіталай", - деді Хей.
Алайда, WhiteSource киберқауіпсіздік компаниясының өнім маркетингі жөніндегі аға директоры Джек Марсал адамдардың интернеттегі қолданбалармен үнемі әрекеттесетінін атап өтті: онлайн сатып алудан бастап онлайн ойындар ойнауға дейін, екінші реттік шабуылдарға ұшырайды. Бұзылған сервер қызмет провайдерінің өз пайдаланушысы туралы барлық ақпаратты ашуы мүмкін.
"Тұлғаның олармен өзара әрекеттесетін қолданба серверлерінің шабуылға осал емес екеніне сенімді болуы мүмкін емес", - деп ескертті Марсал. "Көріну мүмкіндігі жоқ."
Өкінішке орай, бәрі идеалдан алыс және Log4 Shell-ге осал көптеген қолданбалар әлі де табиғатта бар.
Жағымды ескертуде Сингх кейбір жеткізушілер үйдегі пайдаланушылар үшін осалдықты жоюды өте қарапайым етіп жасағанын атап өтті. Мысалы, ресми Minecraft хабарламасын көрсете отырып, ол ойынның Java нұсқасын ойнайтын адамдарға жай ғана ойынның барлық іске қосылған даналарын жауып, патчталған нұсқаны автоматты түрде жүктеп алатын Minecraft іске қосу құралын қайта іске қосу керек екенін айтты.
Компьютеріңізде қандай Java қолданбаларын іске қосып жатқаныңызға сенімді болмасаңыз, процесс біршама күрделірек және тартылады. Hay.jar,.ear немесе.war кеңейтімдері бар файлдарды іздеуді ұсынды. Дегенмен, ол бұл файлдардың бар болуы олардың log4j осалдығына ұшырағанын анықтау үшін жеткіліксіз екенін айтты.
Ол адамдарға Карнеги Меллон университетінің (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) шығарған сценарийлерді компьютерлерін осалдықты анықтау үшін пайдалануды ұсынды. Дегенмен, сценарийлер графикалық емес және оларды пайдалану пәрмен жолына өтуді қажет етеді.
Бәрін ескере отырып, Марсал бүгінгі байланысқан әлемде қауіпсіздікті сақтау үшін бар күш-жігерін жұмсау әркімнің өз еркінде деп есептеді. Сингх келісті және адамдарға осалдықты пайдалану арқылы жалғасатын кез келген зиянды әрекетке жол бермеу үшін жұмыс үстелі қауіпсіздігінің негізгі тәжірибелерін орындауға кеңес берді.
"[Адамдар] өз жүйелері мен құрылғыларының жаңартылғанын және соңғы нүкте қорғанысының орнатылғанын тексере алады, - деп ұсынды Сингх. "Бұл оларға алаяқтық туралы ескертулерге және жабайы пайдаланудан болатын кез келген зардаптардың алдын алуға көмектеседі."