Clau per emportar
- Milers de servidors i serveis en línia encara estan exposats a la perillosa i fàcilment explotable vulnerabilitat loj4j, troba investigadors.
- Si bé les amenaces principals són els propis servidors, els servidors exposats també poden posar en risc els usuaris finals, suggereixen experts en ciberseguretat.
- Per desgràcia, la majoria dels usuaris poden fer poc per solucionar el problema, a més de seguir les millors pràctiques de seguretat de l'escriptori.
La perillosa vulnerabilitat de log4J es nega a morir, fins i tot mesos després que s'hagi disponible una solució per a l'error fàcilment explotable.
Els investigadors de ciberseguretat de Rezilion van descobrir recentment més de 90.000 aplicacions vulnerables orientades a Internet, inclosos més de 68.000 servidors de Minecraft potencialment vulnerables, els administradors dels quals encara no han aplicat els pedaços de seguretat, exposant ells i els seus usuaris a ciberatacs. I hi ha poc que pots fer al respecte.
"Desafortunadament, log4j ens perseguirà els usuaris d'Internet durant una bona estona", va dir Harman Singh, director del proveïdor de serveis de ciberseguretat Cyphere, a Lifewire per correu electrònic. "Com que aquest problema s'aprofita des del servidor, [la gent] no pot fer gaire per evitar l'impacte d'un compromís del servidor."
The Haunting
La vulnerabilitat, anomenada Log4 Shell, es va detallar per primera vegada el desembre de 2021. En una sessió informativa telefònica aleshores, la directora de l'agència de seguretat cibernètica i d'infraestructures dels Estats Units (CISA), Jen Easterly, va descriure la vulnerabilitat com "una de les més greu que he vist en tota la meva carrera, si no la més seriosa."
En un intercanvi de correu electrònic amb Lifewire, Pete Hay, responsable d'instrucció de l'empresa de proves i formació de ciberseguretat SimSpace, va dir que l'abast del problema es pot mesurar a partir de la recopilació de serveis i aplicacions vulnerables de venedors populars com Apple, Steam., Twitter, Amazon, LinkedIn, Tesla i desenes d' altres. No és sorprenent que la comunitat de ciberseguretat va respondre amb tota la força i Apache va publicar un pegat gairebé immediatament.
Compartint les seves troballes, els investigadors de Rezilion esperaven que la majoria, si no tots, els servidors vulnerables s'haguessin aplicat, donada la gran quantitat de cobertura mediàtica al voltant de l'error. "Ens vam equivocar", escriuen els investigadors sorpresos. "Desafortunadament, les coses estan lluny de ser ideals i moltes aplicacions vulnerables a Log4 Shell encara existeixen en estat salvatge."
Els investigadors van trobar els casos vulnerables utilitzant el motor de cerca Shodan Internet of Things (IoT) i creuen que els resultats són només la punta de l'iceberg. La superfície d'atac vulnerable real és molt més gran.
Estàs en risc?
Malgrat la superfície d'atac exposada força important, Hay va creure que hi ha bones notícies per a l'usuari domèstic mitjà. "La majoria d'aquestes vulnerabilitats [Log4J] existeixen als servidors d'aplicacions i, per tant, és molt poc probable que afectin el vostre ordinador domèstic", va dir Hay.
No obstant això, Jack Marsal, director sènior de màrqueting de productes amb el proveïdor de ciberseguretat WhiteSource, va assenyalar que la gent interactua amb aplicacions a Internet tot el temps, des de compres en línia fins a jugar a jocs en línia, exposant-los a atacs secundaris. Un servidor compromès pot revelar tota la informació que el proveïdor de serveis té sobre el seu usuari.
"No hi ha manera que un individu pugui estar segur que els servidors d'aplicacions amb els quals interactuen no són vulnerables als atacs", va advertir Marsal. "La visibilitat simplement no existeix."
Malauradament, les coses estan lluny de ser ideals, i moltes aplicacions vulnerables a Log4 Shell encara existeixen a la natura.
En una nota positiva, Singh va assenyalar que alguns venedors han facilitat que els usuaris domèstics abordin la vulnerabilitat. Per exemple, apuntant a l'avís oficial de Minecraft, va dir que les persones que juguen a l'edició Java del joc només han de tancar totes les instàncies en execució del joc i reiniciar el llançador de Minecraft, que baixarà la versió pegada automàticament.
El procés és una mica més complicat i complicat si no esteu segur de quines aplicacions Java esteu executant a l'ordinador. Hay va suggerir buscar fitxers amb extensions.jar,.ear o.war. Tanmateix, va afegir que la mera presència d'aquests fitxers no és suficient per determinar si estan exposats a la vulnerabilitat log4j.
Va suggerir que la gent fes servir els scripts publicats per l'equip de preparació per a emergències informàtiques (CERT) de l'Institut d'enginyeria de programari de la Universitat Carnegie Mellon (CMU) per buscar la vulnerabilitat als seus ordinadors. Tanmateix, els scripts no són gràfics i utilitzar-los requereix baixar a la línia d'ordres.
Tenint en compte, Marsal creia que en el món connectat actual, depèn de tothom fer el millor esforç per mantenir-se segur. Singh va acceptar i va aconsellar a la gent que seguissin les pràctiques bàsiques de seguretat de l'escriptori per mantenir-se al corrent de qualsevol activitat maliciosa perpetuada per l'explotació de la vulnerabilitat.
"[Les persones] poden assegurar-se que els seus sistemes i dispositius estiguin actualitzats i que hi hagi proteccions de punt final", va suggerir Singh. "Això els ajudaria amb les alertes de frau i la prevenció contra les conseqüències de les explotacions salvatges."