Key takeaways
- Tusentals onlineservrar och tjänster är fortfarande utsatta för den farliga och lättexploaterbara loj4j-sårbarheten, hitta forskare.
- Medan de primära hoten är servrarna själva, kan exponerade servrar också utsätta slutanvändare för risker, föreslår cybersäkerhetsexperter.
- Tyvärr finns det lite de flesta användare kan göra för att åtgärda problemet förutom att följa de bästa säkerhetsrutinerna för skrivbordet.
Den farliga log4J-sårbarheten vägrar att dö, till och med månader efter att en fix för det lättexploaterbara felet gjordes tillgänglig.
Cybersäkerhetsforskare på Rezilion upptäckte nyligen över 90 000 sårbara internetanvändande applikationer, inklusive över 68 000 potentiellt sårbara Minecraft-servrar vars administratörer ännu inte har tillämpat säkerhetskorrigeringarna, vilket exponerar dem och deras användare för cyberattacker. Och det finns lite du kan göra åt det.
"Tyvärr kommer log4j att förfölja oss internetanvändare ett bra tag", sa Harman Singh, chef för cybersäkerhetstjänsteleverantören Cyphere, till Lifewire via e-post. "Eftersom det här problemet utnyttjas från serversidan kan [människor] inte göra mycket för att undvika effekten av en serverkompromiss."
The Haunting
Sårbarheten, kallad Log4 Shell, beskrevs först i december 2021. I en telefongenomgång då beskrev Jen Easterly, chef för den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA), sårbarheten som "en av de mest seriöst som jag har sett i hela min karriär, om inte det allvarligaste."
I ett e-postutbyte med Lifewire sa Pete Hay, instruktionsledare på test- och utbildningsföretaget SimSpace för cybersäkerhet, att omfattningen av problemet kan bedömas från sammanställningen av sårbara tjänster och applikationer från populära leverantörer som Apple, Steam, Twitter, Amazon, LinkedIn, Tesla och dussintals andra. Föga överraskande reagerade cybersäkerhetsgemenskapen med full kraft, och Apache lade ut en patch nästan omedelbart.
Rezilions forskare delade med sig av sina resultat och hoppades att en majoritet av, om inte alla, sårbara servrar skulle ha korrigerats, med tanke på den enorma mängden mediebevakning kring felet. "Vi hade fel", skriver de förvånade forskarna. "Tyvärr är saker och ting långt ifrån idealiska, och många applikationer som är sårbara för Log4 Shell finns fortfarande i naturen."
Forskarna hittade de sårbara instanserna med hjälp av Shodan Internet of Things (IoT) sökmotor och tror att resultaten bara är toppen av ett isberg. Den faktiska sårbara attackytan är mycket större.
Är du i riskzonen?
Trots den ganska betydande exponerade attackytan, trodde Hay att det finns några goda nyheter för den genomsnittliga hemanvändaren. "Majoriteten av dessa [Log4J] sårbarheter finns på applikationsservrar och är därför mycket osannolikt att påverka din hemdator", sa Hay.
Men Jack Marsal, Senior Director, Product Marketing med cybersäkerhetsleverantören WhiteSource, påpekade att människor interagerar med applikationer över internet hela tiden, från onlineshopping till att spela onlinespel och utsätter dem för sekundära attacker. En komprometterad server kan potentiellt avslöja all information som tjänsteleverantören har om sin användare.
"Det finns inget sätt att en individ kan vara säker på att applikationsservrarna de interagerar med inte är sårbara för attacker", varnade Marsal. "Synligheten finns helt enkelt inte."
Tyvärr är saker och ting långt ifrån idealiska, och många applikationer som är sårbara för Log4 Shell finns fortfarande i naturen.
Positivt påpekade Singh att vissa leverantörer har gjort det ganska enkelt för hemanvändare att ta itu med sårbarheten. Till exempel, när han pekade på det officiella Minecraft-meddelandet, sa han att personer som spelar Java-utgåvan av spelet helt enkelt måste stänga alla pågående instanser av spelet och starta om Minecraft-startprogrammet, som kommer att ladda ner den korrigerade versionen automatiskt.
Processen är lite mer komplicerad och involverad om du inte är säker på vilka Java-program du kör på din dator. Hay föreslog att leta efter filer med tilläggen.jar,.ear eller.war. Han tillade dock att bara närvaron av dessa filer inte räcker för att avgöra om de är utsatta för log4j-sårbarheten.
Han föreslog att folk skulle använda skripten som lagts ut av Carnegie Mellon University (CMU) Software Engineering Institute (SEI) Computer Emergency Readiness Team (CERT) för att leta igenom sina datorer efter sårbarheten. Skripten är dock inte grafiska och att använda dem kräver att du går ner till kommandoraden.
Allt sett trodde Marsal att i dagens uppkopplade värld är det upp till alla att göra sitt bästa för att förbli säker. Singh gick med på och rådde människor att följa grundläggande säkerhetspraxis för skrivbordet för att hålla koll på all skadlig aktivitet som upprätthålls genom att utnyttja sårbarheten.
"[Människor] kan se till att deras system och enheter är uppdaterade och att slutpunktsskydd är på plats", föreslog Singh. "Detta skulle hjälpa dem med alla bedrägerivarningar och förebyggande av nedfall från vilda utnyttjande."
