מזונות חשובים
- אלפי שרתים ושירותים מקוונים עדיין חשופים לפגיעות loj4j המסוכנת והניתנת לניצול בקלות, מצאו חוקרים.
- בעוד שהאיומים העיקריים הם השרתים עצמם, שרתים חשופים יכולים גם לסכן את משתמשי הקצה, מציעים מומחי אבטחת סייבר.
- למרבה הצער, רוב המשתמשים יכולים לעשות מעט כדי לפתור את הבעיה מלבד ביצוע שיטות האבטחה הטובות ביותר של שולחן העבודה.
הפגיעות המסוכנת log4J מסרבת למות, אפילו חודשים לאחר שתיקון לבאג שניתן לנצל בקלות הומצא.
חוקרי אבטחת סייבר ב-Rezilion גילו לאחרונה למעלה מ-90,000 יישומים פגיעים הפונות לאינטרנט, כולל למעלה מ-68,000 שרתי Minecraft שעלולים להיות פגיעים שמנהליהם עדיין לא החלו את תיקוני האבטחה, מה שחשפו אותם ואת המשתמשים שלהם להתקפות סייבר. ויש מעט שאתה יכול לעשות בנידון.
"למרבה הצער, log4j ירדוף אותנו משתמשי האינטרנט במשך די הרבה זמן", אמר הרמן סינג, מנהל ספקית שירותי אבטחת הסייבר Cyphere, ל-Lifewire באימייל. "מכיוון שהבעיה הזו מנוצלת מצד השרת, [אנשים] לא יכולים לעשות הרבה כדי למנוע את ההשפעה של פשרה בשרת."
The Haunting
החולשה, שזכתה לכינוי Log4 Shell, פורטה לראשונה בדצמבר 2021. בתדרוך טלפוני אז, מנהלת סוכנות האבטחה האמריקנית ותשתיות (CISA), ג'ן איסטרלי, תיארה את הפגיעות כ"אחת הנקודות הכי גדולות רציני שראיתי בכל הקריירה שלי, אם לא הכי רציני."
בהחלפת דוא ל עם Lifewire, פיט היי, מוביל הדרכה בחברת הבדיקות וההדרכה של אבטחת סייבר SimSpace, אמר כי ניתן לאמוד את היקף הבעיה על סמך הידור של שירותים ויישומים פגיעים של ספקים פופולריים כגון Apple, Steam, טוויטר, אמזון, לינקדאין, טסלה ועוד עשרות אחרים. באופן לא מפתיע, קהילת אבטחת הסייבר הגיבה במלוא העוצמה, כשאפאצ'י הוציאה תיקון כמעט מיד.
לחלוק את הממצאים שלהם, חוקרי Rezilion קיוו שרוב, אם לא כולם, השרתים הפגיעים היו מטופלים, בהתחשב בכמות האדירה של הסיקור התקשורתי סביב הבאג. "טעינו", כותבים החוקרים המופתעים. "למרבה הצער, הדברים רחוקים מלהיות אידיאליים, ויישומים רבים הפגיעים ל-Log4 Shell עדיין קיימים בטבע."
החוקרים מצאו את המקרים הפגיעים באמצעות מנוע החיפוש Shodan Internet of Things (IoT) ומאמינים שהתוצאות הן רק קצה הקרחון. משטח ההתקפה הפגיע בפועל גדול בהרבה.
האם אתה בסיכון?
למרות משטח ההתקפה החשוף למדי, היי האמין שיש חדשות טובות עבור המשתמש הביתי הממוצע. "רוב הפגיעויות הללו [Log4J] קיימות בשרתי יישומים ולכן לא סביר מאוד שישפיעו על המחשב הביתי שלך", אמר Hay.
עם זאת, ג'ק מרסל, מנהל בכיר, שיווק מוצרים עם ספקית אבטחת הסייבר WhiteSource, ציין שאנשים מקיימים אינטראקציה עם יישומים ברחבי האינטרנט כל הזמן, מקניות מקוונות ועד למשחקים מקוונים, וחושפים אותם להתקפות משניות. שרת שנפרץ עלול לחשוף את כל המידע שספק השירות מחזיק על המשתמש שלו.
"אין שום דרך שאדם יכול להיות בטוח ששרתי היישומים איתם הם מתקשרים אינם חשופים להתקפה", הזהיר מרסל. "הנראות פשוט לא קיימת."
למרבה הצער, הדברים רחוקים מלהיות אידיאליים, ויישומים רבים הפגיעים ל-Log4 Shell עדיין קיימים בטבע.
בנימה חיובית, סינג ציין שחלק מהספקים הפכו את זה למשתמשים ביתיים די פשוטים לטפל בפגיעות. לדוגמה, בהצביע על הודעת Minecraft הרשמית, הוא אמר שאנשים שמשחקים במהדורת Java של המשחק פשוט צריכים לסגור את כל המופעים הפועלים של המשחק ולהפעיל מחדש את משגר Minecraft, שיוריד את הגרסה המתוקנת באופן אוטומטי.
התהליך קצת יותר מסובך ומעורב אם אינך בטוח אילו יישומי Java אתה מריץ במחשב שלך. Hay הציע לחפש קבצים עם הסיומות.jar,.ear או.war. עם זאת, הוא הוסיף שעצם הנוכחות של קבצים אלה אינה מספיקה כדי לקבוע אם הם חשופים לפגיעות log4j.
הוא הציע לאנשים להשתמש בסקריפטים שפרסם מכון הנדסת תוכנה (SEI) של מכון הנדסת תוכנה (SEI) (CERT) כדי לסרוק את המחשבים שלהם לאיתור הפגיעות. עם זאת, הסקריפטים אינם גרפיים, והשימוש בהם דורש ירידה לשורת הפקודה.
בכל העניין, מרסל האמין שבעולם המחובר של היום, זה תלוי בכל אחד לעשות את מיטב המאמצים שלו כדי להישאר בטוח. סינג הסכים והמליץ לאנשים לפעול לפי נוהלי אבטחה בסיסיים של שולחן העבודה כדי להתעדכן בכל פעילות זדונית המונצחת על ידי ניצול הפגיעות.
"[אנשים] יכולים לוודא שהמערכות והמכשירים שלהם מעודכנים והגנת נקודות קצה קיימת", הציע סינג. "זה יעזור להם בכל התראת הונאה ומניעה מפני כל נשור מניצול פראי."
