在Facebook透露攻击者在利用零日漏洞之后已经渗透到其内部系统之后,Java的声誉再次受到打击。
正如PCMag.com昨天下午晚些时候报道的那样,Facebook表示其系统已于1月份“遭到了一次复杂的攻击”。 该公司在该网站的Facebook安全帖子中说,一些Facebook员工(可能是开发人员)在访问了第三方移动开发人员网站后受到感染。 攻击者以前曾破坏过开发人员站点,并注入了恶意代码,这些代码利用了Java插件中的安全漏洞。 Facebook说,零日漏洞利用绕过了Java沙箱,在受害计算机上安装了恶意软件。
Facebook向Oracle报告了此漏洞,并于2月1日对其进行了修补。Oracle当时说,此修复计划于2月19日进行,但由于在野外被利用而加快了该版本的发布。 目前尚不清楚该补丁中修复的39个(共50个)Java Runtime Environment错误中有哪个是此漏洞利用的。
Facebook向用户保证,该攻击中没有任何用户数据受到损害,但没有指出其内部数据是否已受到影响。
推特其他受害者?
Facebook通知了其他几家遭到同一攻击打击的公司,并将调查移交给了联邦执法部门。 虽然该公司没有发现其他受害者,但攻击的时机恰好与Twitter遭到破坏有关。 用户凭据已在该攻击中暴露出来。 既然我们知道了Facebook攻击的一些细节,Twitter关于禁用Java浏览器插件的神秘警告就很有意义了。
正如 SecurityWatch 先前报道的那样,Twitter的信息安全总监Bob Lord说:“我们还回应美国国土安全部和安全专家的建议,鼓励用户在其浏览器的计算机上禁用Java。”
放在AV上不是重点
Facebook指出,遭到入侵的笔记本电脑“已得到全面修补,并正在运行最新的防病毒软件。” 一些安全专家对这一事实进行了猛烈抨击,以重申他们的观点,即防病毒是“失败的技术”。 少数人表示,Facebook应该披露防病毒软件供应商的名称,以便其他客户知道他们是否处于危险之中。
这里要讲的故事不是杀毒软件是否应该检测到Java漏洞,而是Facebook成功地使用其分层防御来检测和阻止攻击。 Facebook表示,该公司的安全团队会持续监控基础架构是否受到攻击,并在公司的DNS日志中标记出可疑域。 该团队将其追溯到员工的笔记本电脑,经过法医检查后发现了一个恶意文件,并用相同的文件标记了其他几台受损的笔记本电脑。
nCircle安全运营总监安德鲁·暴风雨(Andrew Storms)告诉 安全 观察:“阻止Facebook对这种攻击做出快速反应,将其扼杀在萌芽状态。”
除了分层安全性外,Facebook还定期进行模拟和演练,以测试防御措施并与事件响应者合作。 Ars Technica 最近在Facebook上记下了一个有趣的描述,该活动在Facebook上被安全团队认为正在处理零时差攻击和后门代码。 这类模拟已在公共和私营部门的多个组织中使用。
摆脱Java并非那么容易
正如 SecurityWatch 在本月初指出的那样,很容易建议用户在其浏览器中禁用Java,但是许多商业工具仍然依赖于浏览器的Java插件。 虽然我不知道浏览器中需要Java的任何开发人员工具,但还有许多其他主要的业务工具可以使用。 就在前几天,我很难让WebEx在Chrome上运行(禁用Java),不得不记住切换到Internet Explorer(启用Java)。
攻击者正在偷偷摸摸,破坏合法站点并攻击那些站点的访问者。 保持对软件和操作系统的修补,并运行最新的安全软件。 尽可能减少攻击面,但最重要的是,要了解网络上正在发生的事情。
