Mga Key Takeaway
- Libu-libong online server at serbisyo ang nalantad pa rin sa mapanganib, at madaling mapagsamantalang kahinaan sa loj4j, humanap ng mga mananaliksik.
- Habang ang mga pangunahing banta ay ang mga server mismo, ang mga nakalantad na server ay maaari ding ilagay sa panganib ang mga end-user, magmungkahi ng mga eksperto sa cybersecurity.
- Sa kasamaang palad, kakaunti ang magagawa ng karamihan sa mga user upang ayusin ang problema bukod sa pagsunod sa pinakamahuhusay na kasanayan sa seguridad sa desktop.
Ang mapanganib na kahinaan sa log4J ay tumangging mamatay, kahit na mga buwan pagkatapos ng pag-aayos para sa madaling pagsasamantalang bug ay ginawang available.
Ang Cybersecurity researchers sa Rezilion kamakailan ay natuklasan ang mahigit 90, 000 vulnerable na application na nakaharap sa internet, kabilang ang mahigit 68, 000 na potensyal na vulnerable na Minecraft server na ang mga admin ay hindi pa naglalapat ng mga security patch, na naglalantad sa kanila at sa kanilang mga user sa mga cyberattack. At wala kang magagawa tungkol dito.
"Sa kasamaang palad, ang log4j ay magmumulto sa amin ng mga gumagamit ng internet sa loob ng mahabang panahon, " sinabi ni Harman Singh, Direktor sa cybersecurity service provider na Cyphere, sa Lifewire sa pamamagitan ng email. "Dahil ang isyung ito ay pinagsamantalahan mula sa server-side, hindi gaanong magagawa ng [mga tao] upang maiwasan ang epekto ng isang kompromiso sa server."
The Haunting
Ang kahinaan, na tinawag na Log4 Shell, ay unang idinetalye noong Disyembre 2021. Sa isang phone briefing noon, inilarawan ng direktor ng US cybersecurity and infrastructure security agency (CISA), Jen Easterly, ang kahinaan bilang "isa sa pinaka seryoso na nakita ko sa buong career ko, kung hindi man ang pinakaseryoso."
Sa isang email exchange kay Lifewire, sinabi ni Pete Hay, Instructional Lead sa cybersecurity testing at training company na SimSpace, na ang saklaw ng problema ay maaaring masukat mula sa compilation ng mga vulnerable na serbisyo at application mula sa mga sikat na vendor gaya ng Apple, Steam., Twitter, Amazon, LinkedIn, Tesla, at dose-dosenang iba pa. Hindi nakakagulat, ang komunidad ng cybersecurity ay tumugon nang buong puwersa, kung saan ang Apache ay naglagay ng isang patch halos kaagad.
Sa pagbabahagi ng kanilang mga natuklasan, umaasa ang mga mananaliksik ng Rezilion na karamihan sa, kung hindi man lahat, ang mga mahihinang server ay na-patch na, dahil sa napakalaking saklaw ng media sa paligid ng bug. "Kami ay mali," isulat ang nagulat na mga mananaliksik. "Sa kasamaang palad, ang mga bagay ay malayo sa perpekto, at maraming mga application na mahina sa Log4 Shell ay umiiral pa rin sa ligaw."
Natuklasan ng mga mananaliksik ang mga mahihinang pagkakataon gamit ang Shodan Internet of Things (IoT) search engine at naniniwala na ang mga resulta ay ang dulo lamang ng malaking bato ng yelo. Ang aktwal na vulnerable attack surface ay mas malaki.
Nasa Panganib Ka ba?
Sa kabila ng medyo makabuluhang nakalantad na pag-atake, naniwala si Hay na may ilang magandang balita para sa karaniwang gumagamit sa bahay. "Ang karamihan sa mga [Log4J] na kahinaan na ito ay umiiral sa mga server ng application at samakatuwid ay napaka-malamang na hindi makakaapekto sa iyong computer sa bahay," sabi ni Hay.
Gayunpaman, itinuro ni Jack Marsal, Senior Director, Product Marketing kasama ang cybersecurity vendor na WhiteSource, na ang mga tao ay nakikipag-ugnayan sa mga application sa buong internet sa lahat ng oras, mula sa online shopping hanggang sa paglalaro ng mga online na laro, na naglalantad sa kanila sa mga pangalawang pag-atake. Ang isang nakompromisong server ay posibleng magbunyag ng lahat ng impormasyong hawak ng service provider tungkol sa kanilang user.
"Walang paraan para makasigurado ang isang indibidwal na ang mga server ng application na nakikipag-ugnayan sa kanila ay hindi madaling atakehin," babala ni Marsal. "Wala lang ang visibility."
Sa kasamaang palad, ang mga bagay ay malayo sa perpekto, at maraming mga application na vulnerable sa Log4 Shell ay umiiral pa rin sa ligaw.
Sa isang positibong tala, itinuro ni Singh na ginawa ng ilang vendor na medyo simple para sa mga user sa bahay na tugunan ang kahinaan. Halimbawa, itinuro ang opisyal na abiso sa Minecraft, sinabi niya na ang mga taong naglalaro ng Java edition ng laro ay kailangan lang isara ang lahat ng tumatakbong pagkakataon ng laro at i-restart ang Minecraft launcher, na awtomatikong magda-download ng patched na bersyon.
Ang proseso ay medyo mas kumplikado at kasangkot kung hindi ka sigurado kung anong mga Java application ang iyong pinapatakbo sa iyong computer. Iminungkahi ni Hay na maghanap ng mga file na may mga extension na.jar,.ear, o.war. Gayunpaman, idinagdag niya na ang pagkakaroon lamang ng mga file na ito ay hindi sapat upang matukoy kung nalantad ang mga ito sa kahinaan ng log4j.
Iminungkahi niya ang mga tao na gamitin ang mga script na inilabas ng Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) para i-trawl ang kanilang mga computer para sa kahinaan. Gayunpaman, ang mga script ay hindi graphical, at ang paggamit ng mga ito ay nangangailangan ng pagbaba sa command line.
Lahat ng bagay na isinasaalang-alang, naniniwala si Marsal na sa konektadong mundo ngayon, nasa lahat na ilapat ang kanilang pinakamahusay na pagsisikap sa pananatiling ligtas. Sumang-ayon si Singh at pinayuhan ang mga tao na sundin ang mga pangunahing kasanayan sa seguridad sa desktop upang manatiling nakatutok sa anumang malisyosong aktibidad na nagpapatuloy sa pamamagitan ng pagsasamantala sa kahinaan.
"Masisiguro ng [mga tao] na ang kanilang mga system at device ay na-update at ang mga proteksyon sa endpoint ay nasa lugar," iminungkahing ni Singh. "Makakatulong ito sa kanila sa anumang mga alerto sa pandaraya at pag-iwas laban sa anumang mga pagbagsak mula sa ligaw na pagsasamantala."
