Негизги алып салуулар
- Миңдеген онлайн серверлер жана кызматтар дагы эле кооптуу жана оңой пайдаланыла турган loj4j аялуулугуна дуушар болушат, изилдөөчүлөрдү табат.
- Негизги коркунучтар серверлердин өзү болгону менен, ачык серверлер акыркы колдонуучуларды да тобокелге салышы мүмкүн, киберкоопсуздук боюнча адистерди сунуштаңыз.
- Тилекке каршы, көпчүлүк колдонуучулар иш тактадагы коопсуздуктун эң жакшы ыкмаларын колдонуудан тышкары, көйгөйдү чече алышпайт.
Оңой колдонууга мүмкүн болгон мүчүлүштүктөрдү оңдоо жеткиликтүү болгондон кийин да, log4J кооптуу кемчилиги өлүүдөн баш тартат.
Rezilion компаниясынын киберкоопсуздук боюнча изилдөөчүлөрү жакында 90 000ден ашуун аялуу интернет тиркемелерин, анын ичинде администраторлору коопсуздук тактарын колдоно элек 68 000ден ашык потенциалдуу аялуу Minecraft серверлерин таап, аларды жана алардын колдонуучуларын киберчабуулдарга дуушар кылышкан. Бул тууралуу кыла ала турган эч нерсе жок.
"Тилекке каршы, log4j интернет колдонуучуларыбызды бир топ убакытка чейин кыйнап калат ", - деди Харман Сингх, Cyphere киберкоопсуздук кызматынын директору Lifewireге электрондук почта аркылуу. "Бул маселе сервер тарабынан пайдаланылгандыктан, [адамдар] сервердин бузулушунун таасиринен качуу үчүн көп нерсе кыла албайт."
The Haunting
Log4 Shell деп аталган алсыздык биринчи жолу 2021-жылдын декабрь айында деталдаштырылган. Ошол кездеги телефондогу брифингде АКШнын киберкоопсуздук жана инфраструктуралык коопсуздук боюнча агенттигинин (CISA) директору Джен Истерли алсыздыкты "эң эле коркунучтуулардын бири" деп мүнөздөгөн. Мен бүт карьерамда көргөн олуттуу, эгерде эң олуттуусу."
Lifewire менен электрондук кат алмашууда, SimSpace киберкоопсуздук боюнча тестирлөө жана окутуу компаниясынын нускама жетекчиси Пит Хей көйгөйдүн масштабын Apple, Steam сыяктуу популярдуу сатуучулардын аялуу кызматтарынын жана тиркемелеринин компиляциясынан аныктоого болорун айтты., Twitter, Amazon, LinkedIn, Tesla жана башка ондогон. Таң калыштуусу, киберкоопсуздук коомчулугу толук күч менен жооп кайтарды, Apache дароо патчты чыгарды.
Табылгалары менен бөлүшүп, Rezilion изилдөөчүлөрү мүчүлүштүктүн тегерегинде массалык маалымат каражаттарында чагылдырылганын эске алуу менен, баары болбосо да, аялуу серверлердин көпчүлүгү жаңыртылган деп үмүт кылышкан. Таң калган изилдөөчүлөр: «Биз жаңылганбыз», - деп жазышат. "Тилекке каршы, баары идеалдуу эмес жана Log4 Shell үчүн аялуу көптөгөн колдонмолор жапайы жаратылышта дагы эле бар."
Изилдөөчүлөр Shodan Internet of Things (IoT) издөө системасынын жардамы менен аялуу учурларды табышты жана натыйжалар айсбергдин чети гана деп эсептешет. Чыныгы аялуу чабуулдун аянты бир топ чоңураак.
Сиз коркунучтабы?
Чабуулдун олуттуу ачыктыгына карабастан, Хей үйдөгү жөнөкөй колдонуучу үчүн жакшы жаңылык бар деп эсептейт. "Бул [Log4J] кемчиликтеринин көбү тиркеме серверлеринде бар жана андыктан үйдөгү компьютериңизге таасир этпейт" деди Хей.
Бирок, Джек Марсал, киберкоопсуздуктун сатуучусу WhiteSource компаниясынын Продукт Маркетингинин улук директору, адамдар интернеттеги тиркемелер менен ар дайым иштешип, онлайн дүкөндөн онлайн оюндарды ойноп, аларды экинчи чабуулдарга дуушар кылаарын белгиледи. Коркунучка учураган сервер кызмат көрсөтүүчүнүн өз колдонуучусуна тиешелүү бардык маалыматты ачыкка чыгарышы мүмкүн.
"Адамдын алар менен иштешкен тиркеме серверлери чабуулга алсыз эмес экенине ишенүүгө эч кандай жол жок", - деп эскертти Марсал. "Жөн эле көрүнүү жок."
Тилекке каршы, баары идеалдуу эмес жана Log4 Shell үчүн аялуу көптөгөн колдонмолор жапайы жаратылышта дагы эле бар.
Оң белги боюнча, Сингх кээ бир сатуучулар үй колдонуучулары үчүн аялуулукту чечүүнү абдан жөнөкөй кылып коюшканын белгиледи. Мисалы, расмий Minecraft эскертмесин көрсөтүп, ал оюндун Java нускасын ойногон адамдар жөн гана оюндун бардык иштеп жаткан инстанцияларын жаап, Minecraft ишке киргизгичти өчүрүп күйгүзүшү керектигин айтты.
Эгер компьютериңизде кайсы Java колдонмолорун иштетип жатканыңызды билбесеңиз, процесс бир аз татаалыраак жана тартылган. Hay.jar,.ear же.war кеңейтүүлөрү бар файлдарды издөөнү сунуштады. Бирок, ал бул файлдардын жөн гана болушу алардын log4j аялуулугун аныктоо үчүн жетиштүү эмес экенин кошумчалады.
Ал адамдарга Карнеги Меллон университетинин (CMU) Программалык камсыздоо институтунун (SEI) Компьютердик өзгөчө кырдаалдарга даярдык тобу (CERT) тарабынан чыгарылган скрипттерди колдонууну сунуштады. Бирок, скрипттер графикалык эмес жана аларды колдонуу буйрук сабына түшүүнү талап кылат.
Бардык нерсени эске алганда, Марсал азыркы туташкан дүйнөдө коопсуздукту сактоо үчүн бардык күч-аракетин жумшоо ар бир адамдан көз каранды деп эсептейт. Сингх макул болуп, адамдарга алсыздыкты пайдалануу менен жасалган зыяндуу аракеттерди алдын алуу үчүн иш тактадагы коопсуздуктун негизги ыкмаларын колдонууну сунуштады.
"[Адамдар] алардын тутумдары жана түзмөктөрү жаңыртылганын жана акыркы чекиттин коргоочулары орнотулганын текшере алышат ", - деп сунуштады Сингх. "Бул аларга алдамчылык эскертүүлөрүнө жана жапайы эксплуатациялардын кесепеттеринин алдын алууга жардам берет."
