Asosiy takliflar
- Minglab onlayn serverlar va xizmatlar hanuzgacha xavfli va osonlik bilan foydalaniladigan loj4j zaifligiga duchor boʻlmoqda, tadqiqotchilar toping.
- Asosiy tahdidlar serverlarning oʻzi boʻlsa-da, ochiq serverlar oxirgi foydalanuvchilarni ham xavf ostiga qoʻyishi mumkin, kiberxavfsizlik boʻyicha mutaxassislarga maslahat bering.
- Afsuski, koʻpchilik foydalanuvchilar ish stoli xavfsizligini taʼminlash boʻyicha eng yaxshi amaliyotlarga amal qilishdan tashqari muammoni hal qilish uchun juda kam narsa qila oladilar.
Xavfli log4J zaifligi, hatto osonlikcha foydalanish mumkin boʻlgan xatoni tuzatish mavjud boʻlganidan keyin ham bir necha oy oʻtib oʻlishni rad etadi.
Rezilion kompaniyasining kiberxavfsizlik boʻyicha tadqiqotchilari yaqinda 90 000 dan ortiq zaif internet ilovalarini, shu jumladan administratorlari hali xavfsizlik yamoqlarini qoʻllamagan 68 000 dan ortiq zaif Minecraft serverlarini topib, ularni va foydalanuvchilarini kiberhujumlarga duchor qilishdi. Bu borada siz juda oz narsa qila olasiz.
"Afsuski, log4j bizni internet foydalanuvchilarini uzoq vaqt ta'qib qiladi", dedi Xarman Singx, Cyphere kiberxavfsizlik xizmati provayderi direktori Lifewire'ga elektron pochta orqali. “Ushbu muammo server tomonidan qoʻllanilganligi sababli, [odamlar] server buzilishi taʼsiridan qochish uchun koʻp narsa qila olmaydi.”
The Haunting
Log4 Shell deb nomlangan zaiflik birinchi marta 2021-yil dekabrida batafsil bayon etilgan. Oʻsha paytdagi telefon brifingida AQSh kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) direktori Jen İsterli zaiflikni “eng koʻp zaifliklardan biri” deb taʼriflagan edi. Men butun faoliyatim davomida ko'rgan jiddiy, agar eng jiddiy bo'lmasa."
Lifewire bilan elektron pochta almashinuvida SimSpace kiberxavfsizlik sinovlari va oʻqitish kompaniyasining oʻquv rahbari Pit Xey muammoning koʻlamini Apple, Steam kabi mashhur sotuvchilarning zaif xizmatlar va ilovalari toʻplamidan aniqlash mumkinligini aytdi., Twitter, Amazon, LinkedIn, Tesla va boshqa o'nlab. Ajablanarlisi shundaki, kiberxavfsizlik hamjamiyati to'liq kuch bilan javob berdi, Apache deyarli darhol yamoqni chiqardi.
Oʻz topilmalari bilan oʻrtoqlashar ekan, Rezilion tadqiqotchilari xato haqida ommaviy axborot vositalarida keng yoritilganini hisobga olib, barcha boʻlmasa ham, aksariyat zaif serverlar yamalgan boʻlishiga umid qilishdi. "Biz noto'g'ri edik", deb yozadilar hayratda qolgan tadqiqotchilar. “Afsuski, hamma narsa idealdan yiroq va Log4 Shell’ga qarshi himoyasiz ko‘plab ilovalar hali ham tabiatda mavjud.”
Tadqiqotchilar Shodan Internet of Things (IoT) qidiruv tizimi yordamida zaif holatlarni topdilar va natijalar aysbergning faqat uchi ekanligiga ishonishdi. Haqiqiy zaif hujum maydoni ancha katta.
Siz xavf ostidamisiz?
Hujumning sezilarli darajada ochiq boʻlishiga qaramay, Hay oddiy uy foydalanuvchisi uchun yaxshi yangilik borligiga ishondi. "Ushbu [Log4J] zaifliklarining aksariyati dastur serverlarida mavjud va shuning uchun uy kompyuteringizga ta'sir qilishi dargumon", dedi Hay.
Ammo, Jek Marsal, kiberxavfsizlik sotuvchisi WhiteSource mahsulot marketingi boʻyicha katta direktori, odamlar har doim internetdagi ilovalar bilan oʻzaro aloqada boʻlib, onlayn xarid qilishdan tortib onlayn oʻyin oʻynashgacha, ularni ikkilamchi hujumlarga duchor qilishini taʼkidladi. Buzilgan server potentsial ravishda xizmat ko'rsatuvchi provayder o'z foydalanuvchisi haqidagi barcha ma'lumotlarni oshkor qilishi mumkin.
"Individual o'zi bilan aloqada bo'lgan dastur serverlari hujumga moyil emasligiga ishonch hosil qilishning iloji yo'q", - deya ogohlantirdi Marsal. "Ko‘rinuvchanlik shunchaki mavjud emas."
Afsuski, hamma narsa idealdan yiroq va Log4 Shell uchun zaif boʻlgan koʻplab ilovalar tabiatda hamon mavjud.
Ijobiy qaydda, Singx ba'zi sotuvchilar uy foydalanuvchilari uchun zaiflikni bartaraf etishni juda oddiy qilib qo'yganligini ta'kidladi. Masalan, rasmiy Minecraft xabariga ishora qilib, u oʻyinning Java versiyasini oʻynagan odamlar oʻyinning barcha ishlayotgan nusxalarini yopishi va Minecraft ishga tushirgichini qayta ishga tushirishi kerakligini aytdi, bu esa yamalgan versiyani avtomatik ravishda yuklab oladi.
Kompyuteringizda qanday Java ilovalari ishlayotganingizga ishonchingiz komil boʻlmasa, jarayon biroz murakkabroq va oʻz ichiga oladi. Hay.jar,.ear yoki.war kengaytmali fayllarni qidirishni taklif qildi. Biroq, uning qo‘shimcha qilishicha, bu fayllarning mavjudligi ularning log4j zaifligiga duchor bo‘lganligini aniqlash uchun yetarli emas.
U odamlarga Karnegi Mellon universiteti (CMU) dasturiy ta'minot muhandisligi instituti (SEI) kompyuter favqulodda vaziyatlarga tayyorgarligi guruhi (CERT) tomonidan yaratilgan skriptlardan o'z kompyuterlarini zaiflik uchun tekshirish uchun foydalanishni taklif qildi. Biroq, skriptlar grafik emas va ulardan foydalanish buyruq satriga tushishni talab qiladi.
Hammasi hisobga olinsa, Marsal bugungi bog'langan dunyoda xavfsiz bo'lish uchun qo'lidan kelganicha harakat qilish har kimning o'ziga bog'liq deb hisobladi. Singx rozi bo‘ldi va odamlarga zaiflikdan foydalanish orqali sodir bo‘ladigan har qanday zararli faoliyatdan qochish uchun asosiy ish stoli xavfsizlik amaliyotlariga rioya qilishni maslahat berdi.
"[Odamlar] o'z tizimlari va qurilmalari yangilanganligini va so'nggi nuqta himoyasi o'rnatilganligiga ishonch hosil qilishlari mumkin ", deb taklif qildi Singx. “Bu ularga har qanday firibgarlik haqida ogohlantirish va yovvoyi ekspluatatsiya natijasida yuzaga kelishi mumkin bo‘lgan oqibatlarning oldini olishga yordam beradi.”
