התוקפים בפייסבוק ניצלו באג של ג'אבה באפס יום

המוניטין של ג'אווה שוב הכה, לאחר שפייסבוק חשפה כי התוקפים חדרו למערכות הפנימיות שלה לאחר שניצלו פגיעות של יום אפס.

כפי שדיווחה PCMag.com בשעת צהריים מאוחרת אחר הצהריים, פייסבוק אמרה שמערכותיה "מכוונו להתקפה מתוחכמת" בינואר. חלק מעובדי פייסבוק, ככל הנראה מפתחים, נדבקו לאחר שביקרו באתר מפתחים ניידים של צד שלישי, כך מסרה החברה בפוסט אבטחה בפייסבוק באתר. התוקפים התפשרו בעבר על אתר המפתח והזריקו קוד זדוני שניצל חור אבטחה בתוסף ג'אווה. הניצול של יום אפס עקף את ארגז החול של ג'אווה כדי להתקין את התוכנה הזדונית במחשבי הקורבן, מסרה פייסבוק.

פייסבוק דיווחה על העלייה לאורקל, והיא טופלה בפברואר. 1. אורקל אמרה אז כי התיקון נקבע ליום 19 בפברואר, אך האיצה את השחרור מכיוון שהוא מנוצל בטבע. לא ברור בשלב זה מי מבין 39 (מתוך 50) באגים בסביבת Runtime Java שנקבעו בתיקון זה היה זה בו נעשה שימוש בניצול זה.

פייסבוק הבטיחה למשתמשים כי אף אחד מנתוני המשתמשים לא נפגעה בפיגוע, אך לא ציינה אם כל אחד מהנתונים הפנימיים שלה הושפע.

טוויטר הקורבן האחר?

פייסבוק הודיעה למספר חברות נוספות שנפגעו מאותה התקפה והעבירה את החקירה לאכיפת החוק הפדרלית. בעוד שהחברה לא זיהתה קורבנות אחרים, עיתוי הפיגוע חופף להפרת טוויטר. אישורי משתמשים נחשפו בהתקפה ההיא. עכשיו כשאנחנו יודעים כמה מפרטי ההתקפה בפייסבוק, אזהרה הקריפטה של ​​טוויטר מפני השבתת תוספי דפדפן Java הגיוני.

כפי שפורסם בעבר ב- SecurityWatch , מנהל אבטחת המידע בטוויטר, בוב לורד, אמר: "אנו מהדהדים גם את הייעוץ של משרד האבטחה ומשרד האבטחה של ארה"ב, כדי לעודד משתמשים להשבית את ג'אווה במחשבים שלהם בדפדפיהם."

ערימת AV לא הנקודה

פייסבוק ציינה כי המחשבים הניידים שנפגעו "היו טלאים לחלוטין ומפעילים תוכנת אנטי-וירוס מעודכנת." כמה מומחי אבטחה הקפידו על העובדה שחזרו על טענותיהם כי אנטי-וירוס הוא "טכנולוג טכנולוגי כושל". מעטים אמרו שעל פייסבוק לחשוף את שמו של ספק האנטי-וירוס על מנת שלקוחות אחרים יידעו אם הם נמצאים בסיכון.

הסיפור שעליו יתמקד כאן אינו אם אנטי-וירוס היה צריך לזהות את ניצול ג'אווה, אלא שפייסבוק השתמשה בהגנה שכבתית בהצלחה כדי לאתר ולהפסיק את ההתקפה. צוות האבטחה של החברה עוקב באופן רציף אחר התשתית להתקפות, וסימן את התחום החשוד ביומני ה- DNS של החברה, כך נמסר מפייסבוק. הצוות התחקה אחריו למחשב נייד של עובדים, מצא קובץ זדוני לאחר שביצע בדיקה משפטית, וסימן כמה מחשבים ניידים אחרים שהתפשרו עם אותו קובץ.

אנדרו סטורמס, מנהל פעולות האבטחה ב- nCircle, אמר ל- SecurityWatch: "כובעים לפייסבוק בגלל התגובה המהירה שלהם למתקפה זו, הם ניגבו אותה באיבו."

לצד אבטחה שכבתית, פייסבוק גם עורכת בקביעות הדמיות ותרגילים לבדיקת הגנות ועבודה עם מגיבים באירועים. ארס טכניקה תיאר לאחרונה דיווח מרתק על תרגיל כזה בפייסבוק בו צוותי האבטחה חשבו שהם מתמודדים עם ניצול ואפס של יום אחורי. הדמיות מסוג זה משמשות במספר ארגונים, הן במגזר הציבורי והן במגזר הפרטי.

לא כל כך קל להיפטר מג'אווה

כפי שציין SecurityWatch בתחילת החודש, קל לייעץ למשתמשים להשבית את ג'אווה בדפדפנים שלהם, אך כלים עסקיים רבים עדיין מסתמכים על תוסף ה- Java של הדפדפן. אמנם אינני מודע לכל כלי מפתחים שדורשים ג'אווה בדפדפן, אך יש הרבה כלים עסקיים בולטים אחרים. רק שלשום התקשיתי לגרום ל- WebEx לעבוד על Chrome (ג'אווה מושבתת) ונאלצתי לזכור לעבור ל- Internet Explorer (ג'אווה מופעלת).

התוקפים מתגנבים, מתפשרים על אתרים לגיטימיים ותוקפים את המבקרים באתרים אלה. שמור על תיקוני התוכנה ומערכת ההפעלה שלך והפעל תוכנות אבטחה עדכניות. צמצם את משטח ההתקפה שלך במקום שאתה יכול, אבל הכי חשוב, להיות מודע למתרחש ברשת שלך.