polemikos Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 Η διευθύντρια της Υπηρεσίας Ασφάλειας Υποδομών και Κυβερνοασφάλειας των Ηνωμένων Πολιτειών της Αμερικής (CISA), Jen Easterly, προειδοποιεί ότι η πρόσφατα ανακαλυφθείσα ευπάθεια Log4j είναι «μία από τις σοβαρότερες» που έχει δει στην καριέρα της, «αν δεν είναι η σοβαρότερη». «Εκτιμούμε ότι την ευπάθεια θα την εκμεταλλευτούν ευρέως προηγμένοι μηχανισμοί κυβερνοεγκληματιών την ώρα που έχουμε ελάχιστο χρόνο για να λάβουμε τα απαραίτητα μέτρα προκειμένου να μειώσουμε τη πιθανότητα να προκληθεί ζημιά» εξήγησε η κ. Easterly. Ο Jay Gazlay, από το γραφείο ευπαθειών της Αμερικάνικης υπηρεσίας δήλωσε ότι «εκατοντάδες εκατομμύρια τερματικές συσκευές ενδέχεται να επηρεάζονται από το κενό ασφαλείας». Η Υπηρεσία Ασφάλειας Υποδομών και Κυβερνοασφαλείας είναι τμήμα του Υπουργείου Άμυνας των Ηνωμένων Πολιτειών της Αμερικής και επί του παρόντος μία ομάδα της ασχολείται με την δημιουργία μίας ιστοσελίδας για την εκπαίδευση και την πληροφόρηση όσων επηρεάζονται από την συγκεκριμένη ευπάθεια -αλλά και άλλες- καθώς και για την αντιμετώπιση της παραπληροφόρησης. Για να διασφαλιστεί ότι οι οργανισμοί είναι ασφαλείς από την ευπάθεια, απαιτείται «διαρκής προσπάθεια» δήλωσε ο κ. Gazlay καθώς «δεν υπάρχει κάποια μεμονωμένη ενέργεια που να μπορεί να διορθώσει το πρόβλημα» για να επισημανθεί από τον ίδιο ότι «δεν πρόκειται για ένα πρόβλημα που μπορεί να διορθωθεί εν μια νυκτί». Στις αρχές του μήνα, μία νέα, μηδενικής ημέρας ευπάθεια στο βοηθητικό πρόγραμμα καταγραφής Apache Log4i που είναι βασισμένο στην Java και αποτελεί μέρος του Apache Logging Services, δηλαδή ένα από τα δημοφιλέστερα frameworks καταγραφής στον κόσμο. Η ευπάθεια ονομάστηκε CVE-2021-44228 και επιτρέπει σε κακόβουλους φορείς να «τρέξουν» πρακτικά οποιονδήποτε τύπο κώδικα επιθυμούν. Μάλιστα, δεν απαιτούνται δεξιότητες ή ιδιαίτερες ικανότητες σε θέματα προγραμματισμού για να εκμεταλλευτεί την ευπάθεια κάποιος επιτήδειος προειδοποιούν οι ειδικοί, καλώντας όλους τους οργανισμούς, τις επιχειρήσεις και τις εταιρείες να εγκαταστήσουν την τελευταία ενημέρωση για το Apache Log4j το ταχύτερο δυνατόν. Όλοι όσοι χρησιμοποιούν το λογισμικό θα πρέπει να το αναβαθμίσουν στην έκδοση 2.15 άμεσα μόλις διατεθεί από την Maven Central. Απόδειξη της σοβαρότητας της ευπάθειας είναι το γεγονός ότι οι ειδικοί της αποδίδουν εγκαταστάσεις malware και cryptominers, την προσθήκη επηρεαζόμενων συσκευών στα botnets Mirai και Muhstik, την αποστολή/ εγκατάσταση beacons του Cobalt Strike με φορτίο για την υποκλοπή πληροφοριών, την σάρωση για την υποκλοπή εταιρικών μυστικών, την πλευρική κίνηση σε εταιρικά δίκτυα (με απλά λόγια την δυνατότητα μετάβασης από τερματική συσκευή σε τερματική συσκευή σε ένα εταιρικό δίκτυο από εκείνους που έχουν παραβιάσει την περίμετρο ασφαλείας με στόχο την κλοπή εμπορικών μυστικών, εταιρικών δεδομένων κ.ά.) και άλλου τύπου επιθέσεις. Διαβάστε ολόκληρο το άρθρο
Επισκέπτης Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 Φαντάσου τις τρύπες που ανοίγουνε τώρα με nodejs αχ τι έχουμε να δούμε στο μέλλον 😂
BadIronTree Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 RIP Χριστούγεννα... και καλά patches 1
RaNd Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 Ολα τα Next-gen firewalls έχουν πάρει υπόγραφες και το κόβουν απο την Δευτέρα ξημερώματα, οπότε το έχουν τραβήξει λίγο παραπάνω απ΄'οσο έπρεπε. ...
Pokemon640 Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 και πάνω που νόμιζα ότι αναφερόντουσαν σε γνωστή μάρκα με κλειδαριές ασφαλείας 😂 Ευτυχώς δεν θα μπει ο χάκερ από τη πόρτα 🤣 1
isim Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 Απο το Σαββατο το απογευμα σε συνεχη BLs μεχρι και σημερα. Εχω ριξει πολυ κλαμα με αυτο...
smpt Δημοσ. 15 Δεκεμβρίου 2021 Δημοσ. 15 Δεκεμβρίου 2021 Και καλα σε σερβερς παραγωγης/test, οτιδήποτε. Έχω πήξει με τον καθε πικραμένο που θελει να βγάλει το library ακομα και απο zip files.
skritikos Δημοσ. 16 Δεκεμβρίου 2021 Δημοσ. 16 Δεκεμβρίου 2021 16 ώρες πριν, RaNd είπε Ολα τα Next-gen firewalls έχουν πάρει υπόγραφες και το κόβουν απο την Δευτέρα ξημερώματα, οπότε το έχουν τραβήξει λίγο παραπάνω απ΄'οσο έπρεπε. ... Δεν τρέχουν όμως όλοι με next-gen. ο μισός πλανήτης είναι κάτι αιώνες πίσω σε versions/patches/hotfixes. 2
noroute Δημοσ. 16 Δεκεμβρίου 2021 Δημοσ. 16 Δεκεμβρίου 2021 (επεξεργασμένο) Λες και το κάνουν επίτηδες εντωμεταξύ, κάθε φορά που βγαίνει σοβαρό vulnerability κάποια γιορτή πλησιάζει. Βαρέα ανθυγιεινά στους sysadmin...είναι η μόνη λύση Επεξ/σία 16 Δεκεμβρίου 2021 από noroute 3
epir21 Δημοσ. 17 Δεκεμβρίου 2021 Δημοσ. 17 Δεκεμβρίου 2021 (επεξεργασμένο) Άντε και με το καλό η 2.17.0 Επεξ/σία 17 Δεκεμβρίου 2021 από epir21
nzeppos Δημοσ. 17 Δεκεμβρίου 2021 Δημοσ. 17 Δεκεμβρίου 2021 (επεξεργασμένο) Έχουν αρχίσει να συγκεντρώνουν memes εδώ: https://log4jmemes.com/ Επεξ/σία 17 Δεκεμβρίου 2021 από nzeppos
tsofras Δημοσ. 17 Δεκεμβρίου 2021 Δημοσ. 17 Δεκεμβρίου 2021 Στις 16/12/2021 στις 11:00 ΠΜ, skritikos είπε Δεν τρέχουν όμως όλοι με next-gen. ο μισός πλανήτης είναι κάτι αιώνες πίσω σε versions/patches/hotfixes. Για το συγκεκριμένο θέμα τυχεροί είναι Εμείς που είμαστε με 1.xx δεν άνοιξε ρουθούνι χεχε
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα