Kritiskā Apache Log4j izmantošana, kas demonstrēta programmā Minecraft

Pagājušā nedēļas nogale bija slikts laiks, lai strādātu par servera administratoru. Apache Log4j parādījās kritiska ievainojamība. Lielā problēma? Uzbrucējiem ir iespēja izmantot atvērtā pirmkoda Java pakotni, ko izmanto visu veidu lietojumprogrammas, sākot no Twitter līdz iCloud, lai izpildītu jebkuru kodu, ko uzbrucējs izvēlas.

Tas ir tik biedējoši, kā tas izklausās.

Ko Apache Log4j Exploit nozīmē jums un man

Es runāju ar kiberdrošības pētnieku Džonu Hamondu no Huntress Labs par ekspluatāciju un tai sekojošo cīņu, lai mazinātu kaitējumu. Hamonds savam YouTube kanālam Minecraft serverī atjaunoja ekspluatāciju, un rezultāti bija sprādzienbīstami.

Tweet

J: Kas ir šī izmantošana? Vai varat izskaidrot, kas notiek nespeciālistiski?

A: Šī izmantošana ļauj sliktiem dalībniekiem iegūt kontroli pār datoru, izmantojot vienu teksta rindiņu. Nespeciālisti izsakoties, žurnālfails izgūst jaunu ierakstu, taču tas nolasa un faktiski izpilda datus žurnālfailā. Izmantojot īpaši izstrādātu ievadi, upura dators varētu sazināties ar atsevišķu ļaunprātīgu ierīci un izveidot savienojumu ar to, lai lejupielādētu un veiktu visas ļaunās darbības, ko ir sagatavojis pretinieks.

J: Cik grūti bija atkārtot šo izmantošanu Minecraft?

A: Šīs ievainojamības un izmantošanas iestatīšana ir niecīga, tāpēc tā ir ļoti pievilcīga iespēja sliktiem dalībniekiem. Esmu demonstrējis video pamācība, kas parāda, kā tas tika atjaunots programmā Minecraft, un “uzbrucēja perspektīvas” iestatīšana aizņem varbūt 10 minūtes, ja viņi zina, ko viņi dara un kas viņiem ir vajadzīgi.

J: Kuru tas ietekmē?

A: Galu galā tas kaut kādā veidā ietekmē ikvienu. Pastāv ārkārtīgi liela iespēja, gandrīz droši, ka katrs cilvēks mijiedarbojas ar kādu programmatūru vai tehnoloģiju, kurai šī ievainojamība ir kaut kur paslēpta. 

Mēs esam redzējuši pierādījumus par ievainojamību tādās lietās kā Amazon, Tesla, Steam, pat Twitter un LinkedIn. Diemžēl mēs redzēsim šīs ievainojamības ietekmi ļoti ilgu laiku, savukārt dažas mantotās programmatūras šajās dienās var netikt uzturētas vai atjauninātas.

J: Kas skartajām pusēm jādara, lai nodrošinātu savu sistēmu drošību?

A. Godīgi sakot, personām ir jāzina, kāda programmatūra un lietojumprogrammas viņi izmanto, un pat vienkārši Google meklēšanā “[thhat-software-name] log4j” un jāpārbauda, ​​vai šis pārdevējs vai pakalpojumu sniedzējs ir kopīgojis ieteikumus par paziņojumiem par šo jauno. draudi. 

Šī ievainojamība satricina visu interneta un drošības ainavu. Cilvēkiem ir jālejupielādē jaunākie drošības atjauninājumi no saviem pakalpojumu sniedzējiem, tiklīdz tie ir pieejami, un jāsaglabā modrība attiecībā uz lietojumprogrammām, kuras joprojām gaida atjauninājumu. Un, protams, drošība joprojām ir saistīta ar vienkāršiem pamatiem, kurus nevarat aizmirst: palaidiet stabilu pretvīrusu, izmantojiet garas, sarežģītas paroles (stingri ieteicams izmantot digitālo paroļu pārvaldnieku!) un īpaši pievērsiet uzmanību tam, kas tiek parādīts jūsu priekšā datorā.

Patīk tas, ko tu lasi? Jums patiks, ja tas tiks piegādāts jūsu iesūtnē katru nedēļu. Reģistrējieties SecurityWatch biļetenam.

Policisti + datu brokeri = juridiskas nepilnības

Vecajās filmās noziedznieki vienmēr zināja, kā apiet likuma labo un nepareizo pusi. Ja policists draudētu izsist viņu durvis, viņi tikai pasmaidītu un teiktu: “Ak, jā? Nāciet atpakaļ ar orderi."

Mūsdienu realitātē policijai nav jāuztraucas, lai saņemtu orderi jūsu datiem, ja tā var iegādāties informāciju no datu brokera. Tagad mēs neesam tie, kas romantizē likumu pārkāpšanu, taču mums arī nepatīk iespējama varas ļaunprātīga izmantošana.

Kā raksta PCMag pārstāvis Robs Pegoraro, datu brokeri nodrošina tiesībaizsardzības un izlūkošanas aģentūrām veidus, kā apiet ceturto grozījumu, ļaujot pārdot par privātpersonām savākto informāciju. Vienā piemērā FIB parakstīja līgumu ar datu brokeri par “pirmsizmeklēšanas darbībām”.

Pateicoties sarežģītajām lietotņu konfidencialitātes politikām un datu brokeru noteikumiem un nosacījumiem, vidusmēra Amerikas pilsonis, iespējams, nezina, kā viņa tālruņa atrašanās vietas dati nokļūst tiesībaizsardzības iestāžu datubāzē. Vai tas tevi traucē? Ja tā, ir pienācis laiks pieņemt lietas savās rokās un pārtraukt datu vākšanu pie avota. Izmantojiet Apple un Google piedāvātās atrašanās vietas konfidencialitātes funkcijas, lai saglabātu savu atrašanās vietu noslēpumā apps. iOS ļauj lietotājiem neļaut nevienai lietotnei uzzināt to atrašanās vietu, un Google operētājsistēma Android 12 pievieno līdzīgas vadīklas.

Kas vēl šonedēļ notiek drošības pasaulē?