Əsas Çıxarışlar
- Minlərlə onlayn server və xidmət hələ də təhlükəli və asanlıqla istifadə edilə bilən loj4j zəifliyinə məruz qalır, tədqiqatçılar tapın.
- Əsas təhlükələr serverlərin özləri olsa da, məruz qalmış serverlər də son istifadəçiləri risk altına ata bilər, kibertəhlükəsizlik mütəxəssislərinə tövsiyə edin.
- Təəssüf ki, ən yaxşı masaüstü təhlükəsizlik təcrübələrinə riayət etməklə yanaşı, əksər istifadəçilərin problemi həll etmək üçün edə biləcəyi çox az şey var.
Təhlükəli log4J zəifliyi, hətta asanlıqla istifadə edilə bilən baq üçün düzəlişin təqdim edilməsindən aylar sonra belə ölməkdən imtina edir.
Rezilion-da kibertəhlükəsizlik tədqiqatçıları bu yaxınlarda 90 000-dən çox həssas internet tətbiqi, o cümlədən adminləri hələ də təhlükəsizlik yamalarını tətbiq etməmiş 68 000 potensial həssas Minecraft serveri aşkar edərək onları və istifadəçilərini kiberhücumlara məruz qoyub. Bununla bağlı edə biləcəyiniz çox az şey var.
"Təəssüf ki, log4j uzun müddət internet istifadəçilərimizi təqib edəcək," Cyphere kibertəhlükəsizlik xidməti provayderinin direktoru Harman Sinq Lifewire-a e-poçt vasitəsilə bildirib. "Bu problem server tərəfdən istifadə edildiyi üçün [insanlar] server kompromisinin təsirindən qaçmaq üçün çox şey edə bilməz."
The Haunting
Log4 Shell adlı zəiflik ilk dəfə 2021-ci ilin dekabrında təfərrüatlı şəkildə açıqlanıb. O vaxtkı telefon brifinqində ABŞ-ın kibertəhlükəsizlik və infrastruktur təhlükəsizliyi agentliyinin (CISA) direktoru Cen İsterli zəifliyi "ən çox rast gəlinənlərdən biri" kimi təsvir edib. ən ciddi olmasa da, bütün karyeramda gördüyüm ciddi."
Lifewire ilə e-poçt mübadiləsində SimSpace kibertəhlükəsizlik test və təlim şirkətinin Təlimatlar üzrə Rəhbəri Pete Hay, problemin əhatə dairəsini Apple, Steam kimi məşhur təchizatçıların həssas xidmətləri və proqramlarının tərtibi ilə ölçə biləcəyini söylədi., Twitter, Amazon, LinkedIn, Tesla və onlarla başqaları. Təəccüblü deyil ki, kibertəhlükəsizlik icması tam güclə cavab verdi və Apache demək olar ki, dərhal yamağı işə saldı.
Tədqiqatlarını bölüşən Rezilion tədqiqatçıları ümid edirdilər ki, səhvlə bağlı kütləvi informasiya vasitələrinin əhatə olunmasını nəzərə alaraq, həssas serverlərin hamısı olmasa da, əksəriyyəti yamaqlanmış olacaq. Təəccüblənən tədqiqatçılar “Biz yanıldıq” yazırlar. "Təəssüf ki, işlər idealdan uzaqdır və Log4 Shell-ə qarşı həssas olan bir çox proqram hələ də təbiətdə mövcuddur."
Tədqiqatçılar Şodan Əşyaların İnterneti (IoT) axtarış motorundan istifadə edərək həssas nümunələri tapdılar və nəticələrin aysberqin yalnız görünən hissəsi olduğuna inanırlar. Həqiqi həssas hücum səthi daha böyükdür.
Risk altındasınız?
Kifayət qədər əhəmiyyətli hücum səthinə baxmayaraq, Hay adi ev istifadəçisi üçün yaxşı xəbərlərin olduğuna inanırdı. "Bu [Log4J] zəifliklərinin əksəriyyəti proqram serverlərində mövcuddur və buna görə də ev kompüterinizə təsir etmək ehtimalı çox azdır" dedi Hay.
Bununla belə kibertəhlükəsizlik satıcısı WhiteSource-un Məhsul Marketinqi üzrə Baş Direktoru Cek Marsal qeyd etdi ki, insanlar onlayn alış-verişdən tutmuş onlayn oyunlar oynamağa kimi hər zaman internet üzərindən tətbiqlərlə qarşılıqlı əlaqədə olur və onları ikinci dərəcəli hücumlara məruz qoyur. Təhlükəli server potensial olaraq xidmət provayderinin öz istifadəçisi haqqında saxladığı bütün məlumatları aşkar edə bilər.
"Fərdin qarşılıqlı əlaqədə olduğu proqram serverlərinin hücuma məruz qalmadığına əmin olmasının heç bir yolu yoxdur" deyə Marsal xəbərdarlıq edib. "Görünürlük sadəcə mövcud deyil."
Təəssüf ki, işlər idealdan uzaqdır və Log4 Shell-ə qarşı həssas olan bir çox proqramlar hələ də təbiətdə mövcuddur.
Müsbət bir qeyddə Sinqh qeyd etdi ki, bəzi satıcılar ev istifadəçiləri üçün zəifliyi aradan qaldırmağı kifayət qədər sadələşdiriblər. Məsələn, rəsmi Minecraft bildirişinə işarə edərək, o dedi ki, oyunun Java versiyasını oynayan insanlar sadəcə olaraq oyunun bütün işləyən nümunələrini bağlamalı və yamaqlanmış versiyanı avtomatik endirəcək Minecraft başlatma qurğusunu yenidən işə salmalıdırlar.
Kompüterinizdə hansı Java proqramlarını işlətdiyinizə əmin deyilsinizsə, proses bir az daha mürəkkəb və cəlbedicidir. Hay.jar,.ear və ya.war uzantıları olan faylları axtarmağı təklif etdi. Bununla belə, o, əlavə etdi ki, bu faylların sadəcə olması onların log4j zəifliyinə məruz qalıb-qalmadığını müəyyən etmək üçün kifayət deyil.
O, insanlara kompüterlərini zəiflik üçün araşdırmaq üçün Karnegi Mellon Universiteti (CMU) Proqram Mühəndisliyi İnstitutu (SEI) Kompüter Fövqəladə Hallara Hazırlıq Qrupu (CERT) tərəfindən hazırlanmış skriptlərdən istifadə etməyi təklif etdi. Bununla belə, skriptlər qrafik deyil və onlardan istifadə əmr satırına keçməyi tələb edir.
Hər şey nəzərə alınmaqla, Marsal hesab edirdi ki, bugünkü əlaqəli dünyada təhlükəsiz qalmaq üçün əlindən gələni etmək hər kəsdən asılıdır. Sinq razılaşdı və insanlara zəiflikdən istifadə edərək davam etdirilən hər hansı zərərli fəaliyyətdən xəbərdar olmaq üçün əsas masaüstü təhlükəsizlik təcrübələrinə əməl etməyi tövsiyə etdi.
"[İnsanlar] sistemlərinin və cihazlarının yeniləndiyinə və son nöqtə mühafizəsinin yerində olduğuna əmin ola bilər," Sinqh təklif etdi. "Bu, onlara hər hansı fırıldaqçılıq xəbərdarlığı və vəhşi istismarların nəticələrinin qarşısını almağa kömək edəcək."
