„Log4Shell“ potencialus atakos paviršius išlieka reikšmingas
Log4Shell, kartais vadinama naudojant Log4j rankeną, po Apache Java bibliotekos pavadinimo, kurioje ji buvo rasta, daugelio analitikų ir saugumo ekspertų pavadino dešimtmečio programinės įrangos pažeidžiamumu. Pažeidžiamumas buvo aptiktas pačioje 2021 m. pabaigoje. Praėjus keturiems mėnesiams, o vėliau – dešimtys įspėjimų ir įspėjimų, kiek saugesnė yra pasaulinė IT aplinka, kai kalbama apie „Log4Shell“?
„Log4Shell“ ataskaita nėra optimistiška
Tyrėjų komanda su saugos firma Rezilion atliko analizę, siekdama įvertinti galimą atakų paviršių sistemose, kurios vis dar yra pažeidžiamos Log4Shell. Pažeidžiamumas yra senesnėje itin populiarios „Apache“ registravimo bibliotekos versijoje, veikiančioje „Java“. Rezilion tyrimų grupės išvados nebuvo džiuginančios.
Kaip ir buvo galima tikėtis, Rezilion taip pat tikėjosi, kad dėl nesibaigiančio žiniasklaidos, straipsnių ir įspėjimų srauto, paskelbto po Log4Shell atradimo, didžioji dauguma atvejų, kuriuose veikia pažeidžiama programinė įranga, jau seniai bus pataisyti. Tačiau komandos išvados nebuvo tokios teigiamos, kaip jie tikėjosi.
„Rezilion“ ataskaitoje apie galimo atakos paviršiaus analizę pasaulinė „Log4Shell“ padėtis vadina „toli nuo idealios“. Naudodama specializuotą „Shodan“ variklį, komanda ieškojo pasenusių programinės įrangos versijų ir serverių, pažeidžiamų „Log4Shell“. Rezultatas buvo stulbinantys 90 000 pažeidžiamų taškų, kuriuos paveikė internetas. Anot tyrėjų komandos, šis skaičius, nors ir jau reikšmingas, yra tik „ledkalnio viršūnė“, palyginti su visu galimu „Log4Shell“ puolimo paviršiumi.
„Minecraft“ serveriai tyrimo ataskaitoje buvo išskirti kaip visiškai atskira kategorija dėl didžiulio „Microsoft“ priklausančio žaidimo populiarumo.
„Log4Shell“ ilgas žaidimas
Grėsmės veikėjai žvalgėsi per kelias valandas nuo pažeidžiamumo atradimo, žinodami, kad daugybė įrenginių, kuriuose veikia „Java“ registravimo sistema, turintis trūkumą, užtruks daug laiko. Nuo trūkumo atradimo kiekvieną savaitę atsirado naujų metodų ir bandymų įvairiais būdais spręsti pažeidžiamumą.
Nors taip plačiai paplitusio pažeidžiamumo atakos paviršius greičiausiai niekada visiškai neišnyks, skaičiai vis dar kelia nerimą ir ateinančiais mėnesiais tikimasi daugiau bandymų išnaudoti „Log4Shell“.