ניצול קריטי של Apache Log4j הוכח ב-Minecraft

סוף השבוע האחרון היה זמן רע להיות מנהל שרת. פגיעות קריטית הופיעה ב- Apache Log4j. הבעיה הגדולה? לתוקפים יש הזדמנות לנצל את חבילת הקוד הפתוח של Java שכל מיני אפליקציות, מטוויטר ועד iCloud, משתמשות בהן כדי לבצע כל קוד שהתוקף יבחר.

זה מפחיד כמו שזה נשמע.

מה המשמעות של ניצול ה-Apache Log4j עבורך ועלי

שוחחתי עם חוקר אבטחת הסייבר ג'ון האמונד מ-Hunttress Labs על הניצול וההתמודדות שלאחר מכן כדי להפחית את הנזק. האמונד שיחזר את הניצול בשרת Minecraft עבור ערוץ היוטיוב שלו, והתוצאות היו נפיצות.

Tweet

ש: מה זה הניצול הזה? אתה יכול להסביר מה קורה במונחים של הדיוטות?

ת: ניצול זה מאפשר לשחקנים גרועים להשיג שליטה במחשב באמצעות שורת טקסט אחת. במונחים של הדיוט, קובץ יומן מאחזר ערך חדש אבל במקרה קורא ובעצם מבצע על נתונים בתוך קובץ היומן. עם קלט בעל מבנה ספציפי, מחשב קורבן היה מושיט יד ומתחבר למכשיר זדוני נפרד כדי להוריד ולבצע כל פעולה מרושעת שהיריב הכין.

ש: כמה קשה היה לשחזר את הניצול הזה במיינקראפט?

ת: הפגיעות והניצול הזה טריוויאליים להגדרה, מה שהופך אותה לאופציה מאוד אטרקטיבית עבור שחקנים גרועים. הצגתי לראווה הדרכה וידאו המדגימה כיצד זה נוצר מחדש במיינקראפט, ו"פרספקטיבה של התוקף" לוקח אולי 10 דקות להגדיר אם הם יודעים מה הם זוממים ומה הם צריכים.

ש: מי מושפע מזה?

ת: בסופו של דבר, כולם מושפעים מזה בצורה כזו או אחרת. יש סיכוי גבוה מאוד, כמעט בטוח, שכל אדם מקיים אינטראקציה עם תוכנה או טכנולוגיה כלשהי שהפגיעות הזו חבויה איפשהו. 

ראינו עדויות לפגיעות בדברים כמו אמזון, טסלה, Steam, אפילו טוויטר ולינקדאין. למרבה הצער, אנו נראה את ההשפעה של הפגיעות הזו במשך זמן רב מאוד, בעוד שחלק מהתוכנות מדור קודם לא יישמרו או ידחפו עדכונים בימים אלה.

ש: מה צריכים הצדדים המושפעים לעשות כדי לשמור על בטיחות המערכות שלהם?

ת: בכנות, אנשים צריכים להישאר מודעים לתוכנות והיישומים שהם משתמשים בהם, ואפילו לבצע חיפוש פשוט בגוגל של "[שם התוכנה הזה] log4j" ולבדוק אם הספק או הספק הזה שיתפו עצות כלשהן להתראות בנוגע לחדש הזה. אִיוּם. 

הפגיעות הזו מטלטלת את כל נוף האינטרנט והאבטחה. אנשים צריכים להוריד את עדכוני האבטחה האחרונים מהספקים שלהם ברגע שהם זמינים ולהישאר ערניים ליישומים שעדיין ממתינים לעדכון. וכמובן, האבטחה עדיין מסתכמת ביסודות החשופים שאי אפשר לשכוח: הפעל אנטי וירוס מוצק, השתמש בסיסמאות ארוכות ומורכבות (מומלץ בחום מנהל סיסמאות דיגיטליות!), והיו מודעים במיוחד למה שמוצג ב- מולך במחשב שלך.

כמו מה שאתה קורא? אתה תאהב את זה שיישלח לתיבת הדואר הנכנס שלך מדי שבוע. הירשם לניוזלטר SecurityWatch.

שוטרים + מתווכים נתונים = פרצות משפטיות

פושעים בסרטים ישנים תמיד ידעו את דרכם בין הצד הנכון והלא נכון של החוק. אם שוטר איים לפרוץ את הדלת שלהם, הם פשוט היו מגחכים ואומרים, "אה כן? תחזור עם צו".

במציאות של היום, המשטרה לא צריכה לטרוח לקבל צו לנתונים שלך אם היא יכולה לקנות את המידע ממתווך נתונים. עכשיו, אנחנו לא אלה שמבצעים רומנטיזציה להפרת חוק, אבל אנחנו גם לא אוהבים ניצול לרעה של כוח אפשרי.

כפי שכותב רוב פגורארו של PCMag, מתווכים בנתונים מספקים לאכיפת החוק ולסוכנויות הביון דרכים לעקוף את התיקון הרביעי על ידי מתן אפשרות למכירה של מידע שנאסף על אזרחים פרטיים. ה-FBI חתם על חוזה עם מתווך נתונים עבור "פעילויות טרום חקירה" בדוגמה אחת.

הודות למדיניות הפרטיות המפותלת של האפליקציה ולתנאים והגבלות של מתווך נתונים, אזרח אמריקאי ממוצע כנראה לא יודע איך נתוני המיקום של הטלפון שלו נכנסים למסד נתונים של אכיפת החוק. האם זה מפריע לך? אם כן, הגיע הזמן לקחת את העניינים לידיים ולהפסיק את איסוף הנתונים במקור. השתמש בתכונות פרטיות המיקום שמציעות אפל וגוגל כדי לשמור על המיקום שלך בסוד apps. iOS מאפשרת למשתמשים למנוע מכל אפליקציה לדעת את מיקומם, ואנדרואיד 12 של גוגל מוסיף פקדים דומים.

מה עוד קורה בעולם האבטחה השבוע?