Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 12
DIGITAL TV 190
ilka aggelia
21 Δεκεμβρίου 2021 11:51

ESET: Γνωρίζετε εάν η εταιρεία σας χρησιμοποιεί το λογισμικό Log4Shell; Και αν ναι, έχετε πάρει μέτρα για να προστατευτείτε από αυτήν την ευπάθεια;

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F441d679d418591598c12c503f78a488c XL

Με εκατοντάδες χιλιάδες απόπειρες επίθεσης να εντοπίζονται και να αποκλείονται μόνο από τα συστήματα της ESET, δεν υπάρχει χρόνος για χάσιμο. Πιθανόν να είναι θέμα χρόνου το εάν θα ενταθούν οι επιθέσεις μέσω της ευπάθειας Log4Shell. Μπορεί οι επικεφαλής των επιχειρήσεων να γνωρίζουν τον προϋπολογισμό που έχουν εγκρίνει για το τμήμα πληροφορικής της εταιρείας τους, όμως συχνά αγνοούν το εάν τα συστήματα IT της εταιρείας τους έχουν ενημερωθεί ή αν έχουν επιδιορθωθεί τα τρωτά σημεία.

Με εκατοντάδες χιλιάδες απόπειρες επίθεσης να εντοπίζονται και να αποκλείονται μόνο από τα συστήματα της ESET, δεν υπάρχει χρόνος για χάσιμο. Πιθανόν να είναι θέμα χρόνου το εάν θα ενταθούν οι επιθέσεις μέσω της ευπάθειας Log4Shell.

Μπορεί οι επικεφαλής των επιχειρήσεων να γνωρίζουν τον προϋπολογισμό που έχουν εγκρίνει για το τμήμα πληροφορικής της εταιρείας τους, όμως συχνά αγνοούν το εάν τα συστήματα IT της εταιρείας τους έχουν ενημερωθεί ή αν έχουν επιδιορθωθεί τα τρωτά σημεία.

Τα πράγματα βέβαια αλλάζουν όταν μια έκτακτη είδηση ανακύπτει για κάποια άλλη εταιρεία που έχει δεχτεί κυβερνοεπίθεση ή για παραβίαση δεδομένων λόγω ευπάθειας στο λογισμικό που χρησιμοποιούσε. Διαβάζοντας μια τέτοια είδηση, οι επικεφαλής των επιχειρήσεων θα πρέπει να αναρωτηθούν : “Μήπως και η εταιρεία μου χρησιμοποιεί αυτό το λογισμικό; Και, αν ναι, έχουμε πάρει τα απαραίτητα μέτρα για να προστατευτούμε;”.
Μια τέτοια περίπτωση είναι και η ευπάθεια Log4Shell που πρόσφατα μονοπώλησε τα Μέσα Μαζικής Ενημέρωσης διεθνώς. Αρχικά, η ευπάθεια αυτή αφορά σε ένα κομμάτι κώδικα – την πλατφόρμα Apache Log4j 2 – που χρησιμοποιείται παγκοσμίως και θα μπορούσε εύκολα να υπάρχει στο λογισμικό που χρησιμοποιεί η εταιρεία σας, ακόμη και χωρίς να το γνωρίζει το προσωπικό του τμήματος IT.
Υπό αυτή την έννοια, δε μοιάζει με σχεδόν καμία άλλη ευπάθεια με την οποία ασχολούνται συνήθως οι ομάδες ασφαλείας πληροφοριακών συστημάτων. Επιπλέον, η εκμετάλλευση της αδυναμίας που υπάρχει σε αυτόν τον κώδικα είναι μάλλον απλή για τους κυβερνοεγκληματίες και, άρα, επικίνδυνη για την επιχείρησή σας.

Καθισμένοι πίσω από την οθόνη του υπολογιστή τους κάπου μακριά (ή πιθανά όχι και τόσο) και οπλισμένοι με λίγες γνώσεις της γλώσσας προγραμματισμού Java, οι κυβερνοεγκληματίες μπορούν να σαρώσουν το διαδίκτυο και να στείλουν κακόβουλα πακέτα για να θέσουν σε κίνδυνο κάποια από τα συστήματά σας που είναι εκτεθειμένα στο διαδίκτυο και στα οποία εκτελείται μια ευάλωτη έκδοση αυτής της βιβλιοθήκης κώδικα.
Εάν το σύστημά σας μολυνθεί με ένα τέτοιο κακόβουλο πακέτο, το παιχνίδι μπορεί να έχει σχεδόν τελειώσει, επειδή ο επιτιθέμενος έχει πλέον δώσει εντολή σε ένα από τα συστήματά σας να προσπαθήσει να επικοινωνήσει με μια ιστοσελίδα και να κατεβάσει κακόβουλο λογισμικό που θα μπορούσε να αναλάβει τον πλήρη έλεγχο του συγκεκριμένου συστήματος.

Με τον ίδιο τρόπο, ένας κυβερνοεγκληματίας που βρίσκεται ήδη στο δίκτυό σας θα μπορούσε εξίσου εύκολα να μετακινηθεί σε άλλα συστήματα, χρησιμοποιώντας την ίδια τακτική.
Μέχρι στιγμής, τα συστήματα ανίχνευσης της ESET έχουν δει επιτιθέμενους να προσπαθούν να μεταφέρουν κακόβουλο λογισμικό όπως coin miners, τα trojans Tsunami και Mirai, καθώς και το εργαλείο δοκιμής Meterpreter penetration. Πιθανόν να είναι θέμα χρόνου να ενταθούν οι επιθέσεις και οι προηγμένοι φορείς απειλών να στοχεύσουν μαζικά την ευπάθεια.

Τώρα είναι η ώρα για έλεγχο και ενημέρωση

Η ευπάθεια Log4Shell προκάλεσε αντιδράσεις διεθνώς, με τις εταιρείες να πραγματοποιούν πλήρη έλεγχο όλου του λογισμικού που χρησιμοποιούν ή/και αναπτύσσουν για την παρουσία ευάλωτων εκδόσεων της βιβλιοθήκης Log4j 2. Με εκατοντάδες χιλιάδες απόπειρες επίθεσης να εντοπίζονται και να αποκλείονται μόνο από τα συστήματα της ESET, δεν υπάρχει χρόνος για χάσιμο.
Οι επικεφαλής των επιχειρήσεων πρέπει να μιλήσουν με το προσωπικό IT της εταιρείας τους για να βεβαιωθούν ότι διεξάγεται πλήρης αναζήτηση όλων των στοιχείων λογισμικού από το Α έως το Ω, με βάση έναν κατάλογο προτεραιοτήτων. Πολλές εταιρείες ανάπτυξης λογισμικού έχουν ήδη ελέγξει τα προϊόντα τους και έχουν δημοσιεύσει συμβουλές για τους πελάτες σχετικά με το αν αυτά επηρεάζονται και, αν ναι, ποια μέτρα πρέπει να πάρουν οι πελάτες. Η ομάδα IT της εταιρείας σας πρέπει να αναζητήσει αμέσως αυτές τις συμβουλές.

Είναι σημαντικό, μόλις βρεθούν ευάλωτες εκδόσεις της βιβλιοθήκης Log4j, οι ομάδες του τμήματος πληροφορικής να ενημερώσουν την τελευταία έκδοση της βιβλιοθήκης, η οποία είναι επί του παρόντος η 2.16.0. Οι διαχειριστές IT μπορούν να ακολουθήσουν τις συμβουλές που βρίσκονται εδώ.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Ιούλιος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
Έλεγχος πρόσβασης με Akuvox
Η PartnerNET με περισσότερα από 25 χρόνια εμπειρίας στον ICT κλάδο, είναι ο επίσημος διανομέας της Akuvox Company και παρουσιάζει τις έξυπνες λύσεις πρόσβασης και ενδοεπικοινωνίας σε σπίτια, κτίρι...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Κάμερες αντιεκρηκτικού τύπου
Πυρηνικά και πετροχημικά εργοστάσια, τηλεπικοινωνιακοί σταθμοί και αποθήκες εκρηκτικών είναι μόνο μερικοί από τους βιομηχανικούς χώρους και τις κρίσιμες υποδομές που ενέχουν πολλές προκλήσεις, ακό...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Οι μεγαλύτερες τάσεις CCTV για το 2024
Στον κόσμο της βιντεοεπιτήρησης παρατηρείται ραγδαία εξέλιξη την τελευταία δεκαετία, με τις καινοτομίες στην τεχνολογία να έχουν διαδραματίσει σπουδαίο ρόλο στην εν λόγω ανάπτυξη. Ταυτόχρονα, ο το...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...
Hikvision 2-wire HD Apartment
Η λύση 2-wire HD Apartment αποτελεί μια εξαιρετική επιλογή για όσους αναζητούν ένα υψηλής ποιότητας και αξιόπιστο σύστημα θυροτηλεφώνου για αντικατάσταση ενός παλαιού συστήματος με χρήση των υπαρχ...
Πρωτοποριακή υπεροχή στα συστήματα επικοινωνίας Rakson A.E.
Έχοντας ιδρυθεί πριν από 70 χρόνια, η Golmar είναι πρωτοπόρα στην παγκόσμια αγορά, αφήνοντας ένα ανεξίτηλο σημάδι στο τοπίο των συστημάτων ενδοεπικοινωνίας. O αποκλειστικός συνεργάτης στην Ελλάδα ...
TP-Link Omada EAP215-Bridge
Το TP-Link Omada EAP215-Bridge kit αποτελεί την ιδανική λύση για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε απομακρυσμένες περιοχές, παρέχοντας αξιόπιστη ασύρματη σύνδεση με μεγάλη εμβέλεια πο...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 12
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 12 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σ...
INIM Previdia UltraVox
Τα μοντέλα της σειράς πινάκων ελέγχου πυρκαγιάς Previdia Ultra Vox ενσωματώνουν λειτουργίες φωνητικής εκκένωσης / αναγγελίας κινδύνου και ανακοινώσεων, καθώς και τεχνολογίες πυρανίχνευσης. Όλα σε ...
Η Novatron Security Distribution εξαγόρασε την Grande Security
Η Novatron Security Distribution Α.Ε., μέλος του ομίλου IFSAS, κορυφαίου ομίλου λύσεων & προϊόντων τεχνολογίας φυσικής ασφάλειας στην Ελλάδα, ανακοίνωσε την πλήρη εξαγορά των μετοχών της Grand...
Πώς επηρεάζεται ο κατασκευαστικός τομέας από το AI;
Ο κατασκευαστικός κλάδος, ακρογωνιαίος λίθος της αστικής ανάπτυξης και γενικότερα της οικονομίας, υφίσταται σημαντικές αλλαγές τα τελευταία χρόνια. Στο επίκεντρο αυτών των αλλαγών, βρίσκεται για μ...
Ασφάλεια στα γήπεδα της Super League για την καταπολέμηση της οπαδικής βίας
Τα μέτρα για την καταπολέμηση της οπαδικής βίας ανακοίνωσε τον περασμένο μήνα ο κυβερνητικός εκπρόσωπος Παύλος Μαρινάκης, με αφορμή τα επεισόδια στον αγώνα βόλεϊ Ολυμπιακού - Παναθηναϊκού στο Ρέντ...
Πώς αντιμετωπίζουμε τις ηλεκτρονικές απάτες;
Το ηλεκτρονικό οικονομικό έγκλημα είναι ένα σύγχρονο φαινόμενο και είναι πιθανό να αποτελέσει μείζον πρόβλημα για την κοινωνία κατά τα επόμενα χρόνια. Η αντιμετώπισή του από νομική άποψη δεν είναι...
Τα 20 κορυφαία Υβριδικά συστήματα συναγερμού της αγοράς
Σε μια εποχή όπου η ασφάλεια αποτελεί πρωταρχικό μέλημα των ανθρώπων παγκοσμίως, τα υβριδικά συστήματα συναγερμού έχουν αναδειχθεί σε ένα ζωτικό εργαλείο για την προστασία κατοικιών, επιχειρήσεων ...
Wi-Fi Sensing
Οι εφαρμογές του Wi-Fi και της ασύρματης τεχνολογίας εξελίσσονται ραγδαία, και σήμερα η εν λόγω τεχνολογία δημιουργεί νέες ευκαιρίες. Ερευνητές και επιστήμονες από τον κλάδο της τεχνολογίας έχουν ...
Αναγνώριση πινακίδων οχημάτων
 Έντονες είναι οι εξελίξεις στην τεχνολογία αναγνώρισης οχημάτων και συμπεριφοράς οδηγών τα τελευταία χρόνια. Από την ευρεία υιοθέτηση της τεχνητής νοημοσύνης, μέχρι τη μηχανική μάθηση, όλα σ...
Video Analytics: 2 διαφορετικές προσεγγίσεις
Με την πληθώρα τεχνολογικών λύσεων που συναντούμε σήμερα είναι σίγουρο πως οι επιχειρήσεις και οι μεγάλοι οργανισμοί έχουν την τύχη, αλλά και την ελευθερία, να επιλέξουν - μέσα από μια μεγάλη γκάμ...