Uuris
Uuris

Kriitiline Apache Log4j ärakasutamine on demonstreeritud Minecraftis

Eelmine nädalavahetus oli halb aeg serveri administraatoriks olla. Apache Log4j-s ilmnes kriitiline haavatavus. Suur probleem? Ründajatel on võimalus kasutada avatud lähtekoodiga Java-paketti, mida kõikvõimalikud rakendused Twitterist iCloudini kasutavad ründaja valitud koodi käivitamiseks.

See on nii hirmutav, kui see kõlab.

Mida Apache Log4j Exploit teie ja minu jaoks tähendab

Rääkisin küberjulgeoleku uurija John Hammondiga Huntress Labsist ärakasutamisest ja sellele järgnenud rüselustest kahjude leevendamiseks. Hammond taastas oma YouTube'i kanali Minecrafti serveris ärakasutamise ja tulemused olid plahvatuslikud.

K: Mis see ärakasutamine on? Kas saate võhiku terminites seletada, mis toimub?

V: See ärakasutamine võimaldab halbadel näitlejatel ühe tekstireaga arvuti üle kontrolli saada. Tavapäraselt laadib logifail uut kirjet, kuid loeb ja tegelikult käivitab logifailis olevaid andmeid. Spetsiaalselt koostatud sisendiga jõuaks ohvri arvuti eraldi pahatahtliku seadmega ja loob sellega ühenduse, et alla laadida ja sooritada vastase ettevalmistatud pahatahtlikke toiminguid.

Populaarne nüüd
Parimad töölauapakkumised 2021. aasta detsembriks

K: Kui raske oli seda ärakasutamist Minecraftis korrata?

V: Selle haavatavuse ja ärakasutamise seadistamine on triviaalne, mistõttu on see halbade näitlejate jaoks väga atraktiivne. Olen esitlenud video, mis näitab, kuidas see Minecraftis uuesti tehti, ja "ründaja vaatenurga" seadistamiseks kulub võib-olla 10 minutit, kui nad teavad, mida nad teevad ja mida nad vajavad.

K: Keda see mõjutab?

V: Lõppkokkuvõttes mõjutab see ühel või teisel viisil kõiki. On väga suur tõenäosus, peaaegu kindel, et iga inimene suhtleb mõne tarkvara või tehnoloogiaga, millel on see haavatavus kuskile peidetud. 

Oleme näinud tõendeid haavatavuse kohta sellistes asjades nagu Amazon, Tesla, Steam, isegi Twitter ja LinkedIn. Kahjuks näeme selle haavatavuse mõju veel väga pikka aega, samas kui mõnda pärandtarkvara ei pruugita tänapäeval hooldada ega värskendusi lükata.

K: Mida peavad mõjutatud pooled oma süsteemide turvalisuse tagamiseks tegema?

V: Ausalt öeldes peaksid üksikisikud olema teadlikud kasutatavast tarkvarast ja rakendustest ning isegi otsima Google'is lihtsat otsingut „[that-software-name] log4j” ja kontrollima, kas see müüja või teenusepakkuja on jaganud nõuandeid selle uue kohta teatamiseks. oht. 

See haavatavus raputab kogu Interneti- ja turvamaastikku. Inimesed peaksid oma pakkujatelt uusimad turbevärskendused alla laadima nii kiiresti, kui need on saadaval, ja olema valvsad rakenduste suhtes, mis alles ootavad värskendust. Ja loomulikult taandub turvalisus ikkagi lihtsatele põhitõdedele, mida te ei saa unustada: käivitage korralik viirusetõrje, kasutage pikki ja keerulisi paroole (digitaalne paroolihaldur on tungivalt soovitatav!) ja olge eriti kursis, mis on esitatud teie ees arvutis.

Populaarne nüüd
Marklife P11 ülevaade | PCMag

Meie toimetajate soovitus

Meeldib see, mida sa loed? Teile meeldib see iganädalaselt teie postkasti toimetada. Liituge SecurityWatchi uudiskirjaga.

Vanade filmide kurjategijad teadsid alati oma teed nii seaduse õigest kui ka valest küljest. Kui politseinik ähvardas nende ukse maha lüüa, siis nad lihtsalt muigaksid ja ütlesid: "Ah jah? Tulge orderiga tagasi."

Tänapäeva reaalsuses ei pea politsei vaeva nägema teie andmete jaoks orderi hankimisega, kui nad saavad teavet andmemaaklerilt osta. Nüüd ei ole me need, kes romantiseerivad seaduste rikkumist, kuid meile ei meeldi ka võimalik võimu kuritarvitamine.

Nagu PCMagi Rob Pegoraro kirjutab, pakuvad andmemaaklerid õiguskaitseorganitele ja luureagentuuridele viise, kuidas neljandast muudatusest mööda hiilida, lubades müüa eraisikute kohta kogutud teavet. Ühe näite puhul sõlmis FBI andmemaakleriga lepingu "uurimiseelseks tegevuseks".

Tänu keerulistele rakenduste privaatsuseeskirjadele ja andmemaakleri tingimustele ei tea keskmine Ameerika kodanik tõenäoliselt, kuidas tema telefoni asukohaandmed õiguskaitseasutuste andmebaasi jõuavad. Kas see häirib teid? Kui jah, siis on aeg võtta asjad enda kätte ja lõpetada andmete kogumine allika juures. Kasutage Apple'i ja Google'i pakutavaid asukoha privaatsusfunktsioone, et hoida oma asukoht enda eest saladuses apps. iOS võimaldab kasutajatel takistada rakendustel nende asukohta teadma ja Google'i Android 12 lisab sarnased juhtelemendid.

Mis veel sel nädalal julgeolekumaailmas toimub?

Nagu see, mida sa loed?

Registreeru Turvavalve uudiskiri meie parimate privaatsus- ja turvalugude kohta, mis saadetakse otse teie postkasti.

Populaarne nüüd
Parimad peegelkaamerad ja peeglita kaamerad algajatele

See uudiskiri võib sisaldada reklaame, pakkumisi või sidusettevõtete linke. Uudiskirjaga liitumine näitab teie nõusolekut meiega Kasutustingimused ja Privaatsus. Saate igal ajal uudiskirjade tellimusest loobuda.



allikas

Populaarne nüüd
Wyze Switchi ülevaade | PCMag

Keep Calm and Stay Smart

22:20

Meie meeskond testib igal aastal professionaalselt sadu tarkvara, teenuseid ja äristrateegiaid meie enda konsultantide ja ärijuhtide paneeli kaudu.

Valime rangelt ainult kõrgeima tasuvussuhtega lahendusi, mida on lihtne kasutada, mis integreeruvad korralikult igat tüüpi organisatsioonidesse ja mis sisaldavad juhtivaid funktsioone, mis tagavad teile oma ärisektoriga kursis püsimise.

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024. aasta kohustuslik tarkvara

Parimad kategooriad

Viimased arvustused