Apache Log4j Exploit ที่สำคัญแสดงให้เห็นใน Minecraft

สุดสัปดาห์ที่ผ่านมาเป็นช่วงเวลาที่เลวร้ายในการเป็นผู้ดูแลเซิร์ฟเวอร์ ช่องโหว่ที่สำคัญเกิดขึ้นใน Apache Log4j ปัญหาใหญ่? ผู้โจมตีมีโอกาสที่จะใช้ประโยชน์จากแพ็คเกจโอเพ่นซอร์ส Java ที่แอพพลิเคชั่นทุกประเภท ตั้งแต่ Twitter ไปจนถึง iCloud ใช้เพื่อรันโค้ดที่ผู้โจมตีเลือก

มันน่ากลัวอย่างที่คิด

Apache Log4j Exploit มีความหมายต่อคุณและฉันอย่างไร

ฉันได้พูดคุยกับ John Hammond นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Huntress Labs เกี่ยวกับการหาประโยชน์และการแย่งชิงที่ตามมาเพื่อบรรเทาความเสียหาย แฮมมอนด์สร้างช่องโหว่ใหม่บนเซิร์ฟเวอร์ Minecraft สำหรับช่อง YouTube ของเขา และผลลัพธ์ก็ระเบิดออกมา

Tweet

ถาม: การหาประโยชน์นี้คืออะไร คุณสามารถอธิบายสิ่งที่เกิดขึ้นในแง่ของฆราวาส?

ตอบ: การหาประโยชน์นี้ทำให้ผู้ไม่หวังดีสามารถควบคุมคอมพิวเตอร์ด้วยข้อความเพียงบรรทัดเดียว ในแง่ของคนธรรมดา ล็อกไฟล์กำลังดึงรายการใหม่ แต่บังเอิญกำลังอ่านและดำเนินการตามข้อมูลภายในไฟล์บันทึกจริงๆ ด้วยการป้อนข้อมูลที่สร้างขึ้นโดยเฉพาะ คอมพิวเตอร์ของเหยื่อจะเข้าถึงและเชื่อมต่อกับอุปกรณ์ที่เป็นอันตรายแยกต่างหากเพื่อดาวน์โหลดและดำเนินการใดๆ ที่ชั่วร้ายที่ปฏิปักษ์เตรียมไว้

ถาม: การทำซ้ำการหาประโยชน์นี้ใน Minecraft ยากเพียงใด

ตอบ: ช่องโหว่และการใช้ประโยชน์จากช่องโหว่นี้เป็นเรื่องเล็กน้อยในการตั้งค่า ซึ่งทำให้เป็นตัวเลือกที่น่าสนใจมากสำหรับผู้ไม่หวังดี ฉันได้แสดง คำแนะนำแบบวิดีโอแสดงให้เห็นว่าสิ่งนี้ถูกสร้างขึ้นใหม่ใน Minecraftและ "มุมมองของผู้โจมตี" อาจใช้เวลา 10 นาทีในการตั้งค่าหากพวกเขารู้ว่าพวกเขากำลังทำอะไรและต้องการอะไร

ถาม: ใครได้รับผลกระทบจากสิ่งนี้?

ตอบ: ในท้ายที่สุด ทุกคนได้รับผลกระทบจากสิ่งนี้ไม่ทางใดก็ทางหนึ่ง มีโอกาสสูงมากซึ่งเกือบจะแน่นอนที่ทุกคนโต้ตอบกับซอฟต์แวร์หรือเทคโนโลยีบางอย่างที่มีช่องโหว่นี้ซ่อนอยู่ที่ไหนสักแห่ง 

เราได้เห็นหลักฐานของช่องโหว่ในสิ่งต่างๆ เช่น Amazon, Tesla, Steam, Twitter และ LinkedIn ขออภัย เราจะเห็นผลกระทบของช่องโหว่นี้เป็นเวลานานมาก ในขณะที่ซอฟต์แวร์รุ่นเก่าบางตัวอาจไม่ได้รับการดูแลหรือผลักดันการอัปเดตในทุกวันนี้

ถาม: บุคคลที่ได้รับผลกระทบต้องทำอะไรเพื่อให้ระบบของตนปลอดภัย

ตอบ: สุจริต บุคคลควรรับรู้ถึงซอฟต์แวร์และแอปพลิเคชันที่พวกเขาใช้ และทำการค้นหาโดย Google สำหรับ "[that-software-name] log4j" และตรวจสอบว่าผู้ขายหรือผู้ให้บริการรายนั้นได้แบ่งปันคำแนะนำสำหรับการแจ้งเตือนเกี่ยวกับสิ่งใหม่นี้หรือไม่ ภัยคุกคาม. 

ช่องโหว่นี้กำลังเขย่าอินเทอร์เน็ตและความปลอดภัยทั้งหมด ผู้ใช้ควรดาวน์โหลดการอัปเดตความปลอดภัยล่าสุดจากผู้ให้บริการของตนโดยเร็วที่สุดเท่าที่มีอยู่และระมัดระวังในแอปพลิเคชันที่รอการอัปเดต และแน่นอนว่าการรักษาความปลอดภัยยังคงลดลงเหลือเพียงพื้นฐานที่คุณไม่สามารถลืมได้: เรียกใช้โปรแกรมป้องกันไวรัสที่แข็งแกร่ง ใช้รหัสผ่านที่ยาวและซับซ้อน (ขอแนะนำอย่างยิ่งให้ใช้เครื่องมือจัดการรหัสผ่านดิจิทัล!) และระวังสิ่งที่นำเสนอเป็นพิเศษ ต่อหน้าคุณบนคอมพิวเตอร์ของคุณ

ชอบสิ่งที่คุณกำลังอ่าน? คุณจะชอบที่ส่งถึงกล่องจดหมายของคุณทุกสัปดาห์ ลงชื่อสมัครรับจดหมายข่าว SecurityWatch

ตำรวจ + นายหน้าข้อมูล = ช่องโหว่ทางกฎหมาย

อาชญากรในภาพยนตร์เก่ามักรู้จักแนวทางของพวกเขาทั้งด้านถูกและด้านผิดของกฎหมาย ถ้าตำรวจขู่จะพังประตูบ้าน พวกเขาก็ยิ้มเยาะแล้วพูดว่า “อ๋อ เหรอ? กลับมาพร้อมกับหมายจับ”

ในความเป็นจริงในปัจจุบัน ตำรวจไม่จำเป็นต้องกังวลเกี่ยวกับการขอหมายค้นข้อมูลของคุณ หากพวกเขาสามารถซื้อข้อมูลจากนายหน้าข้อมูลได้ ตอนนี้เราไม่ใช่คนที่ชอบทำผิดกฎหมาย แต่เราไม่ชอบการใช้อำนาจในทางที่ผิดเช่นกัน

ตามที่ Rob Pegoraro แห่ง PCMag เขียน นายหน้าข้อมูลให้แนวทางในการบังคับใช้กฎหมายและหน่วยงานข่าวกรองเพื่อแก้ไขปัญหาแก้ไขครั้งที่สี่โดยอนุญาตให้ขายข้อมูลที่รวบรวมเกี่ยวกับพลเมืองส่วนตัว FBI ลงนามในสัญญากับนายหน้าข้อมูลสำหรับ "กิจกรรมก่อนการสืบสวน" ในตัวอย่างหนึ่ง

ต้องขอบคุณนโยบายความเป็นส่วนตัวของแอพและข้อกำหนดและเงื่อนไขของนายหน้าข้อมูล พลเมืองอเมริกันโดยเฉลี่ยอาจไม่ทราบว่าข้อมูลตำแหน่งของโทรศัพท์ของพวกเขาเข้าสู่ฐานข้อมูลการบังคับใช้กฎหมายได้อย่างไร ที่รบกวนคุณ? ถ้าใช่ ก็ถึงเวลาที่จะต้องจัดการเรื่องของคุณเองและหยุดการรวบรวมข้อมูลที่ต้นทาง ใช้คุณสมบัติความเป็นส่วนตัวของตำแหน่งที่ Apple และ Google เสนอเพื่อเก็บตำแหน่งของคุณเป็นความลับจาก apps. iOS ช่วยให้ผู้ใช้ป้องกันไม่ให้แอปทราบตำแหน่งของตน และ Android 12 ของ Google เพิ่มการควบคุมที่คล้ายกัน

จะเกิดอะไรขึ้นอีกใน Security World ในสัปดาห์นี้?