Key Takeaway
- Beribu-ribu pelayan dan perkhidmatan dalam talian masih terdedah kepada kerentanan loj4j yang berbahaya dan mudah dieksploitasi, cari penyelidik.
- Walaupun ancaman utama adalah pelayan itu sendiri, pelayan terdedah juga boleh membahayakan pengguna akhir, mencadangkan pakar keselamatan siber.
- Malangnya, tidak banyak yang boleh dilakukan oleh kebanyakan pengguna untuk menyelesaikan masalah selain mengikuti amalan keselamatan desktop terbaik.
Kerentanan log4J yang berbahaya enggan mati, walaupun beberapa bulan selepas pembetulan pepijat yang mudah dieksploitasi tersedia.
Penyelidik Keselamatan Siber di Rezilion baru-baru ini menemui lebih 90, 000 aplikasi yang terdedah kepada internet, termasuk lebih 68, 000 pelayan Minecraft yang berpotensi terdedah yang pentadbirnya belum lagi menggunakan tampung keselamatan, mendedahkan mereka dan penggunanya kepada serangan siber. Dan tidak banyak yang boleh anda lakukan mengenainya.
"Malangnya, log4j akan menghantui kami pengguna internet untuk seketika," Harman Singh, Pengarah di penyedia perkhidmatan keselamatan siber Cyphere, memberitahu Lifewire melalui e-mel. "Memandangkan isu ini dieksploitasi dari sisi pelayan, [orang] tidak boleh berbuat banyak untuk mengelakkan kesan kompromi pelayan."
Yang Menghantui
Kerentanan, yang digelar Log4 Shell, mula diperincikan pada Disember 2021. Dalam taklimat telefon ketika itu, pengarah agensi keselamatan siber dan keselamatan infrastruktur (CISA) AS, Jen Easterly, menyifatkan kelemahan itu sebagai "salah satu yang paling serius yang saya lihat sepanjang kerjaya saya, jika bukan yang paling serius."
Dalam pertukaran e-mel dengan Lifewire, Pete Hay, Ketua Instruksional di syarikat ujian dan latihan keselamatan siber SimSpace, berkata skop masalah itu boleh diukur daripada kompilasi perkhidmatan dan aplikasi yang terdedah daripada vendor popular seperti Apple, Steam, Twitter, Amazon, LinkedIn, Tesla dan berpuluh-puluh yang lain. Tidak mengejutkan, komuniti keselamatan siber bertindak balas dengan sepenuh tenaga, dengan Apache mengeluarkan tampung hampir serta-merta.
Berkongsi penemuan mereka, penyelidik Rezilion berharap bahawa sebahagian besar, jika tidak semua, pelayan yang terdedah akan ditampal, memandangkan jumlah liputan media yang besar mengenai pepijat. "Kami silap," tulis penyelidik terkejut. "Malangnya, perkara itu jauh dari ideal, dan banyak aplikasi yang terdedah kepada Log4 Shell masih wujud di alam liar."
Para penyelidik menemui kejadian yang terdedah menggunakan enjin carian Shodan Internet of Things (IoT) dan percaya hasilnya hanyalah puncak gunung ais. Permukaan serangan terdedah yang sebenar adalah lebih besar.
Adakah Anda Berisiko?
Walaupun permukaan serangan terdedah yang agak ketara, Hay percaya terdapat beberapa berita baik untuk rata-rata pengguna rumah. "Majoriti kelemahan [Log4J] ini wujud pada pelayan aplikasi dan oleh itu sangat tidak mungkin memberi kesan kepada komputer rumah anda," kata Hay.
Walau bagaimanapun, Jack Marsal, Pengarah Kanan, Pemasaran Produk dengan vendor keselamatan siber WhiteSource, menegaskan bahawa orang ramai berinteraksi dengan aplikasi merentas internet sepanjang masa, daripada membeli-belah dalam talian hingga bermain permainan dalam talian, mendedahkan mereka kepada serangan sekunder. Pelayan yang terjejas berpotensi mendedahkan semua maklumat yang dipegang oleh penyedia perkhidmatan tentang pengguna mereka.
"Tiada cara individu boleh memastikan bahawa pelayan aplikasi yang berinteraksi dengan mereka tidak terdedah kepada serangan," amaran Marsal. "Keterlihatan langsung tidak wujud."
Malangnya, perkara ini jauh dari ideal dan banyak aplikasi yang terdedah kepada Log4 Shell masih wujud di alam liar.
Secara positif, Singh menegaskan bahawa sesetengah vendor telah menjadikannya agak mudah untuk pengguna rumah menangani kelemahan tersebut. Sebagai contoh, sambil menunjuk pada notis rasmi Minecraft, beliau berkata bahawa orang yang memainkan permainan edisi Java hanya perlu menutup semua contoh permainan yang sedang berjalan dan memulakan semula pelancar Minecraft, yang akan memuat turun versi yang ditampal secara automatik.
Proses ini sedikit lebih rumit dan terlibat jika anda tidak pasti aplikasi Java yang anda jalankan pada komputer anda. Hay mencadangkan mencari fail dengan sambungan.jar,.ear atau.war. Bagaimanapun, beliau menambah kehadiran fail ini sahaja tidak mencukupi untuk menentukan sama ada ia terdedah kepada kerentanan log4j.
Beliau mencadangkan orang ramai menggunakan skrip yang dikeluarkan oleh Institut Kejuruteraan Perisian (SEI) Institut Kejuruteraan Perisian (SEI) Carnegie Mellon University (CMU) Pasukan Kesiapsiagaan Kecemasan Komputer (CERT) untuk menarik balik komputer mereka untuk menghadapi kerentanan. Walau bagaimanapun, skrip tidak berbentuk grafik, dan menggunakannya memerlukan turun ke baris arahan.
Semua perkara yang dipertimbangkan, Marsal percaya bahawa dalam dunia yang terhubung hari ini, terpulang kepada semua orang untuk menggunakan usaha terbaik mereka untuk kekal selamat. Singh bersetuju dan menasihatkan orang ramai untuk mengikuti amalan keselamatan desktop asas untuk sentiasa mengetahui sebarang aktiviti berniat jahat yang berterusan dengan mengeksploitasi kelemahan.
"[Orang] boleh memastikan sistem dan peranti mereka dikemas kini dan perlindungan titik akhir disediakan, " cadang Singh. "Ini akan membantu mereka dengan sebarang amaran penipuan dan pencegahan terhadap sebarang akibat daripada eksploitasi liar."