Magas labdára csaptak le a kiberbűnözők

A kiberbűnözők ismét bizonyították, hogy nagyon gyorsan képesek lecsapni a kínálkozó lehetőségekre. Ezúttal a Java legutóbbi biztonsági résére ugrottak rá.
 

Idén a Java sokszor került a biztonsági hírek élére, mivel az Oracle-nek számos olyan Java sérülékenységet kellett megszüntetnie, amelyek jelentős mértékben kiszolgáltatottá tették a számítógépeket, és nem egy esetben igen komoly biztonsági incidensek forrásául szolgáltak. A Java biztonságát ért kritikákat az Oracle megfontolta, és felgyorsította a hibajavítások kiadását. Sajnos azonban a kiberbűnözés még mindig tartja a lépést e védelmi intézkedésekkel.

Az elmúlt napokban a Java azon sérülékenysége került rivaldafénybe, amelyet az Oracle júniusban orvosolt. Az történt ugyanis, hogy a Packet Storm Security közzétett egy olyan kódot, amellyel kihasználhatóvá vált a Java egyik (CVE-2013-2465 azonosítóval ellátott) sérülékenysége. Erről az exploitról kiderült, hogy az korántsem új keletű, hiszen ahhoz a Packet Storm hetekkel ezelőtt jutott hozzá egy meg nem nevezett biztonsági kutatótól. Ugyanakkor a kockázatok mérséklése érdekében úgy határozott, hogy vár 60 napot az exploit közzétételével, és ilyen módon mindenkinek lehetőséget ad arra, hogy a Java frissítésével kialakíthassa a védelmet.

Amikor a Packet Storm publikálta a kódot, akkor arra rögtön felfigyelt a kiberbűnözés, és két napon belül le is reagálta a történteket. Egy Kafeine néven tevékenykedő biztonsági kutató szerint a Java súlyos hibáját kihasználó kód már megtalálható a meglehetősen elterjedt, Styx nevű exploit kitben. Mindez azt jelenti, hogy azok a számítógépek, amelyekre nem került még fel a Java legújabb kiadása, egyre kiszolgáltatottabbakká válnak. Itt azonban meg kell jegyezni azt, hogy a Packet Storm az exploit kiadásával korántsem a kiberbűnözést kívánta támogatni. A célja az volt, hogy a biztonsági szakembereknek lehetőséget adjon arra, hogy a sérülékenységi tesztek, valamint a kockázatértékelések során a védelem erősítésére használhassák fel a kódot.

Kafeine kifejtette, hogy nem ez az első olyan exploit a júniusi Oracle javítások kapcsán, amely belekerült alvilági eszközökbe. Csakhogy a CVE-2013-2465-ös biztonsági rés a támadók számára előnyösebb, ugyanis az nem kizárólag a Java 7-es verziójának esetében működőképes, hanem a Java 6-ot is veszélyezteti. Emiatt a célpontok köre jelentősen kiszélesedik.

Nagy a lemaradás

Felvetődhet a kérdés, hogy a napvilágra került exploit a Java 6 kompatibilitás miatt mennyivel jelent nagyobb kockázatot, mint az eddigi, kizárólag Java 7-tel működő támadóeszközök. A kérdésre a válasz: nagyon. Egyes statisztikák szerint ugyanis a Java 6 még mindig roppant elterjedt. A Bit9 egyik felmérése azt mutatja, hogy a vállalati környezetekben működő rendszerek 80 százalékán még megtalálható a Java valamely 6-os kiadása. Napjainkban a legszélesebb körben használt verzió a Java 6 Update 20. További problémát jelent, hogy az Oracle tavasszal megszüntette a Java 6-os sorozatának támogatását, ami miatt már csak azon ügyfelek, felhasználók juthatnak hozzá a biztonsági frissítésekhez, amelyek kiterjesztett támogatási szerződéssel rendelkeznek. A Java 6 Update 51 egyébiránt orvosolja a szóban forgó biztonsági hibát.

A szakemberek minden egyéni és vállalati felhasználó számára azt javasolják, hogy a lehetőségekhez mérten mihamarabb telepítsék fel a legújabb, Java 7 Update 25 kiadást.