Key takeaways
- Tusinder af online-servere og -tjenester er stadig udsat for den farlige og let udnyttelige loj4j-sårbarhed, finder forskere.
- Mens de primære trusler er serverne selv, kan udsatte servere også sætte slutbrugere i fare, foreslår cybersikkerhedseksperter.
- Desværre er der ikke meget, de fleste brugere kan gøre for at løse problemet udover at følge den bedste praksis for desktop-sikkerhed.
Den farlige log4J-sårbarhed nægter at dø, selv måneder efter en rettelse til den let udnyttelige fejl blev gjort tilgængelig.
Cybersikkerhedsforskere hos Rezilion opdagede for nylig over 90.000 sårbare internet-vendte applikationer, herunder over 68.000 potentielt sårbare Minecraft-servere, hvis administratorer endnu ikke har anvendt sikkerhedsrettelserne, hvilket udsætter dem og deres brugere for cyberangreb. Og der er lidt, du kan gøre ved det.
"Desværre vil log4j hjemsøge os internetbrugere i et stykke tid," fort alte Harman Singh, direktør hos cybersikkerhedstjenesteudbyder Cyphere, til Lifewire via e-mail. "Da dette problem udnyttes fra serversiden, kan [folk] ikke gøre meget for at undgå virkningen af et serverkompromis."
The Haunting
Sårbarheden, kaldet Log4 Shell, blev første gang beskrevet i december 2021. I en telefonbriefing dengang beskrev direktøren for det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA), Jen Easterly, sårbarheden som "en af de mest seriøs, som jeg har set i hele min karriere, hvis ikke den mest seriøse."
I en e-mail-udveksling med Lifewire sagde Pete Hay, instruktionsleder hos cybersikkerhedstest- og træningsvirksomheden SimSpace, at omfanget af problemet kan måles ud fra kompileringen af sårbare tjenester og applikationer fra populære leverandører som Apple, Steam, Twitter, Amazon, LinkedIn, Tesla og snesevis af andre. Ikke overraskende reagerede cybersikkerhedsfællesskabet med fuld kraft, og Apache udsendte en patch næsten øjeblikkeligt.
Rezilion-forskere delte deres resultater og håbede, at et flertal af, hvis ikke alle, sårbare servere ville være blevet rettet på grund af den enorme mængde mediedækning omkring fejlen. "Vi tog fejl," skriver de overraskede forskere. "Desværre er tingene langt fra ideelle, og mange applikationer, der er sårbare over for Log4 Shell, findes stadig i naturen."
Forskerne fandt de sårbare tilfælde ved hjælp af Shodan Internet of Things (IoT) søgemaskinen og mener, at resultaterne kun er toppen af isbjerget. Den faktiske sårbare angrebsflade er meget større.
Er du i fare?
På trods af den ret betydelige synlige angrebsflade, mente Hay, at der er nogle gode nyheder for den gennemsnitlige hjemmebruger. "Størstedelen af disse [Log4J] sårbarheder findes på applikationsservere og er derfor meget usandsynligt, at de vil påvirke din hjemmecomputer," sagde Hay.
Men Jack Marsal, Senior Director, Product Marketing hos cybersikkerhedsleverandøren WhiteSource, påpegede, at folk interagerer med applikationer på tværs af internettet hele tiden, lige fra online shopping til at spille onlinespil og udsætter dem for sekundære angreb. En kompromitteret server kan potentielt afsløre alle de oplysninger, tjenesteudbyderen har om deres bruger.
"Der er ingen måde, at en person kan være sikker på, at de applikationsservere, de interagerer med, ikke er sårbare over for angreb," advarede Marsal. "Synligheden eksisterer simpelthen ikke."
Desværre er tingene langt fra ideelle, og mange applikationer, der er sårbare over for Log4 Shell, findes stadig i naturen.
Positivt påpegede Singh, at nogle leverandører har gjort det forholdsvis enkelt for hjemmebrugere at håndtere sårbarheden. For eksempel, idet han pegede på den officielle Minecraft-meddelelse, sagde han, at folk, der spiller Java-udgaven af spillet, simpelthen skal lukke alle kørende forekomster af spillet og genstarte Minecraft launcher, som vil downloade den patchede version automatisk.
Processen er lidt mere kompliceret og involveret, hvis du ikke er sikker på, hvilke Java-programmer du kører på din computer. Hay foreslog at kigge efter filer med.jar-,.ear- eller.war-udvidelser. Han tilføjede dog, at den blotte tilstedeværelse af disse filer ikke er nok til at afgøre, om de er udsat for log4j-sårbarheden.
Han foreslog folk at bruge de scripts, der blev udgivet af Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) til at gennemtrawle deres computere for sårbarheden. Scripts er dog ikke grafiske, og brugen af dem kræver at komme ned til kommandolinjen.
Alt taget i betragtning, mente Marsal, at i nutidens forbundne verden er det op til alle at gøre deres bedste for at forblive sikker. Singh var enig og rådede folk til at følge grundlæggende desktop-sikkerhedspraksis for at holde sig på forkant med enhver ondsindet aktivitet, der fortsættes ved at udnytte sårbarheden.
"[Folk] kan sørge for, at deres systemer og enheder er opdateret, og endpoint-beskyttelse er på plads," foreslog Singh. "Dette ville hjælpe dem med alle svindeladvarsler og forebyggelse af nedfald fra vilde udnyttelser."
