Ang Log4Shell Potensyal na Attack Surface ay Nananatiling Mahalaga
Ang Log4Shell, minsan ay tinutukoy ang paggamit ng Log4j handle, pagkatapos ng pangalan ng Apache Java library kung saan ito natagpuan, ay tinawag na software vulnerability ng dekada ng maraming analyst at mga eksperto sa seguridad. Natuklasan ang kahinaan sa pinakadulo ng 2021. Apat na buwan at dose-dosenang mga babala at alerto sa paglaon, gaano ba mas ligtas ang pandaigdigang IT landscape pagdating sa Log4Shell?
Ang ulat sa Log4Shell ay hindi optimistiko
Ang isang pangkat ng mga mananaliksik na may security firm na Rezilion ay nagpatakbo ng pagsusuri na sinusubukang tantyahin ang potensyal na pag-atake sa ibabaw ng mga system na mahina pa rin sa Log4Shell. Ang kahinaan ay nasa loob ng isang mas lumang bersyon ng napakasikat na Apache logging library, na tumatakbo sa Java. Ang mga natuklasan ng pangkat ng pananaliksik ng Rezilion ay hindi nakapagpapatibay.
Gaya ng inaasahan ng isa, umaasa rin si Rezilion na dahil sa walang katapusang stream ng media coverage, mga artikulo, at mga alerto na inilabas pagkatapos ng pagtuklas ng Log4Shell, ang napakaraming pagkakataon na nagpapatakbo ng mahinang software ay matagal nang na-patched. Gayunpaman, ang mga natuklasan ng koponan ay hindi kasing positibo gaya ng inaasahan nila.
Ang ulat ng Rezilion sa potensyal na pagsusuri sa ibabaw ng pag-atake ay tinatawag ang pandaigdigang sitwasyon ng Log4Shell na "malayo sa perpekto". Gamit ang espesyal na Shodan engine, nag-scan ang team para sa mga lumang bersyon ng software at mga server na vulnerable sa Log4Shell. Ang resulta ay isang nakakagulat na 90,000 vulnerable point, na nakalantad sa Internet. Ayon sa pangkat ng pananaliksik, ang bilang na ito, kahit na malaki na, ay "ang dulo ng iceberg" lamang, kumpara sa kung ano ang malamang na ang buong potensyal na pag-atake sa ibabaw para sa Log4Shell.
Ang mga server ng Minecraft ay pinili bilang isang ganap na hiwalay na kategorya sa ulat ng pananaliksik, dahil sa malaking katanyagan ng larong pag-aari ng Microsoft.
Ang mahabang laro ng Log4Shell
Ang mga banta ng aktor ay namamayagpag sa loob ng ilang oras pagkatapos matuklasan ang kahinaan, alam na ang malaking bilang ng mga device na tumatakbo sa Java logging framework na naglalaman ng flaw ay aabutin ng maraming oras upang ma-patch. Ang mga bagong pamamaraan at pagtatangka na lapitan ang kahinaan sa iba't ibang paraan ay umuusbong bawat linggo mula nang matuklasan ang kapintasan.
Bagama't ang pag-atake ay lumalabas para sa isang kahinaan na laganap na ito ay malamang na hindi kailanman ganap na mawawala, ang mga numero ay nababahala pa rin at higit pang mga pagtatangka upang pagsamantalahan ang Log4Shell ay inaasahan sa mga darating na buwan.