Hackers misbruiken net gepatcht Java-lek
Slechts een paar dagen na het uitkomen van Oracle's monsterpatch voor 42 Java-lekken wordt één van de kwetsbaarheden actief in het wild gebruikt om computers met malware te infecteren. De update voor Java 6 en Java 7 verscheen op 16 april. Op 20 april verscheen er een exploit die van de kwetsbaarheid misbruik maakt in de populaire hackertool Metasploit.
Via Metasploit kunnen security professionals en systeembeheerders de veiligheid van systemen en netwerken testen. Het komt regelmatig voor dat exploits die in Metasploit verschijnen ook door cybercriminelen worden toegepast. "Het is interessant dat de Metasploit-module op de 20ste verscheen en de exploit een dag later in het wil werd opgemerkt", zegt Timo Hirvonen van het Finse anti-virusbedrijf F-Secure.
Uit onderzoek zou blijken dat tussen de 66% en 85% van alle internetgebruikers Java heeft geïnstalleerd. Daarvan zou 46% tot zelfs 94% niet de meest recente versie gebruiken. Java-gebruikers kunnen via Java.com de nieuwste versie installeren.
De wereld werkt te reactief. Iemand ontdekt weer een nieuwe kwetsbaarheid in Java, duizenden of miljoenen systemen worden gehacked, Java wordt gepatched en vervolgens dienen alle gehackte mensen hun systeem op te schonen met een kostbaar anti-virusproduct. Tenminste, wanneer die eenmaal de exploit herkent en wanneer er al niet te veel kwetsbaarheden op het systeem zijn uitgerold. In het laatste geval is het beter je hele systeem te herinstalleren, met natuurlijk de nieuwste java versie. Kortom, we zijn altijd te laat.
Java is onwaarschijnlijk kwetsbaar, maar moeten we dan maar Java geheel niet meer gebruiken? Is dat echt de oplossing? De wereld kent miljoenen java ontwikkelaars en die school je niet ineens bij. Java wordt gebruikt in talloze apparaten en systemen. Moeten we dat ineens allemaal afstoten? Of is er gedurende de transitie nog een betere oplossing?
Anti-virus is niet afdoende: tegen de tijd dat een anti-virus product een exploit herkent is het te laat. Patchen is noodzakelijk, maar zoals aangegeven, geen enkele oplossing voor het probleem. De enige bescherming is door te focussen op de exploit en deze voorkomen, actief, preventief. Naar mijn weten zijn er nog onvoldoende producten die dit goed kunnen. Voor Java ken ik ten minste een tool, die gratis exploits weerstaat. Misschien moeten we deze wat groter gebruiken zolang de Java discussie nog gevoerd wordt.
Verder wordt het tijd dat men java gaandeweg echt beveiligt, dan wel gaandeweg uit gebruik nemen en dat wij ons adequaat beschermen met anti-malware oplossingen.
n.b. tool: http://www.reseau.nl/service
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
