Clár na nÁbhar[Folaigh][Taispeáin]
Go déanach i mí na Samhna 2021, thángamar ar bhagairt mhór don chibearshlándáil. D’fhéadfadh tionchar a bheith ag an saothrú seo ar na milliúin córas ríomhaireachta ar fud an domhain.
Is treoir é seo ar leochaileacht Log4j agus conas a d’fhág locht dearaidh nach rabhthas ag súil leis a d’fhág os cionn 90% de sheirbhísí ríomhaireachta an domhain oscailte d’ionsaí.
Is áis logála foinse oscailte bunaithe ar Java é Apache Log4j arna fhorbairt ag Fondúireacht Bogearraí Apache. Scríobh Ceki Gülcü é ar dtús in 2001, agus tá sé anois mar chuid de Apache Loging Services, tionscadal de chuid Fondúireacht Bogearraí Apache.
Úsáideann cuideachtaí ar fud an domhain leabharlann Log4j chun logáil isteach ar a bhfeidhmchláir a chumasú. Go deimhin, tá leabharlann Java chomh uileláithreach, is féidir leat é a fháil in iarratais ó Amazon, Microsoft, Google, agus níos mó.
Ciallaíonn feiceálacht na leabharlainne go bhféadfadh aon locht a d’fhéadfadh a bheith sa chód na milliúin ríomhairí a fhágáil oscailte do hacking. Ar an 24 Samhain 2021, a slándáil scamall fuair taighdeoir a bhí ag obair do Alibaba locht uafásach air.
Níor tugadh faoi deara leochaileacht Log4j, ar a dtugtar Log4Shell freisin, ó 2013. Thug an leochaileacht deis do ghníomhaithe mailíseacha cód a rith ar chórais a raibh tionchar acu ar Log4j. Nochtadh go poiblí é an 9 Nollaig, 2021
Tugann saineolaithe tionscail an locht Log4Shell an leochaileacht is mó sa chuimhne le déanaí.
Sa tseachtain tar éis fhoilsiú na leochaileachta, bhraith foirne cibearshlándála na milliúin ionsaithe. Thug roinnt taighdeoirí faoi deara fiú ráta os cionn céad ionsaí in aghaidh an nóiméid.
Conas a oibríonn sé?
Chun a thuiscint cén fáth go bhfuil Log4Shell chomh contúirteach, ní mór dúinn a thuiscint cad atá sé in ann.
Ceadaíonn leochaileacht Log4Shell forghníomhú cód treallach, rud a chiallaíonn go bunúsach gur féidir le hionsaitheoir aon ordú nó cód a rith ar mheaisín sprice.
Conas a dhéantar é seo a bhaint amach?
Ar dtús, ní mór dúinn a thuiscint cad é an JNDI.
Is seirbhís Java é an Comhéadan Ainmniúcháin agus Eolaire Java (JNDI) a ligeann do chláir Java sonraí agus acmhainní a aimsiú agus a chuardach trí ainm. Tá na seirbhísí eolaire seo tábhachtach mar go soláthraíonn siad sraith taifead eagraithe d'fhorbróirí gur féidir tagairt a dhéanamh dóibh go héasca agus feidhmchláir á gcruthú acu.
Is féidir leis an JNDI prótacail éagsúla a úsáid chun rochtain a fháil ar eolaire áirithe. Ceann de na prótacail seo is ea an Prótacal Rochtana Eolaire Éadrom, nó LDAP.
Agus sreang á logáil, log4j déanann sé ionadú teaghrán nuair a thagann siad ar shloinn na foirme ${prefix:name}
.
Mar shampla, Text: ${java:version}
is féidir é a logáil mar Téacs: Java leagan 1.8.0_65. Tá na cineálacha seo ionadaí coitianta.
Is féidir linn freisin nathanna ar nós Text: ${jndi:ldap://example.com/file}
a úsáideann an córas JNDI chun réad Java a luchtú ó URL tríd an bprótacal LDAP.
Go héifeachtach lódálann sé seo na sonraí a thagann ón URL sin isteach sa mheaisín. Is féidir le hacker féideartha cód mailíseach a óstáil ar URL poiblí agus fanacht ar mheaisíní a úsáideann Log4j chun é a logáil.
Ós rud é go bhfuil sonraí a rialaítear ag úsáideoirí in ábhar na dteachtaireachtaí loga, is féidir le hackers a dtagairtí JNDI féin a chur isteach a léiríonn na freastalaithe LDAP a rialaíonn siad. Is féidir leis na freastalaithe LDAP seo a bheith lán de réada mailíseacha Java ar féidir leis an JNDI a fhorghníomhú tríd an leochaileacht.
Is é an rud is measa é seo ná nach cuma más feidhmchlár ar thaobh an fhreastalaí nó ar thaobh an chliaint é.
Chomh fada agus go bhfuil bealach ann don logálaí cód mailíseach an ionsaitheora a léamh, tá an feidhmchlár fós ar oscailt do shaothair.
Cé air a bhfuil tionchar?
Bíonn tionchar ag an leochaileacht ar gach córas agus seirbhís a úsáideann APache Log4j, le leaganacha 2.0 suas go dtí agus lena n-áirítear 2.14.1.
Molann roinnt saineolaithe slándála go bhféadfadh tionchar a bheith ag an leochaileacht ar roinnt feidhmchlár a úsáideann Java.
Thángthas ar an locht den chéad uair sa chluiche físeáin Minecraft faoi úinéireacht Microsoft. Spreag Microsoft a n-úsáideoirí a gcuid bogearraí Minecraft edition Java a uasghrádú chun aon riosca a chosc.
Deir Jen Easterly, Stiúrthóir na Gníomhaireachta Cybersecurity and Infrastructure Security (CISA) go bhfuil a freagracht mhór chun cosc a chur ar úsáideoirí deiridh ar ghníomhaithe mailíseacha leas a bhaint as an leochaileacht seo.
“Ba cheart do dhíoltóirí a bheith i mbun cumarsáide lena gcustaiméirí freisin chun a chinntiú go bhfuil a fhios ag úsáideoirí deiridh go bhfuil an leochaileacht seo ag baint lena dtáirge agus ba cheart dóibh nuashonrú bogearraí a chur in ord tosaíochta.”
Tuairiscítear go bhfuil tús curtha leis na hionsaithe cheana féin. Thug Symantec, cuideachta a sholáthraíonn bogearraí cibearshlándála, líon éagsúil d’iarratais ionsaithe faoi deara.
Seo roinnt samplaí de na cineálacha ionsaithe a bhraith taighdeoirí:
- Botnets
Is líonra ríomhairí iad botnets atá faoi rialú páirtí ionsaithe amháin. Cuidíonn siad le hionsaithe DDoS a dhéanamh, sonraí a ghoid, agus camscéimeanna eile. Thug taighdeoirí faoi deara an botnet Muhstik i scripteanna sliogán a íoslódáladh ó leas a bhaint as Log4j.
- XMRig Miner Trojan
Is mianadóir cryptocurrency foinse oscailte é XMRig a úsáideann CPUanna chun an comhartha Monero a mhianadóireacht. Is féidir le cibearchoireachta XMRig a shuiteáil ar ghléasanna daoine ionas gur féidir leo a gcumhacht próiseála a úsáid i ngan fhios dóibh.
- Khonsari Ransomware
Tagraíonn Ransomware do chineál malware atá deartha chun comhaid a chriptiú ar ríomhaire. Is féidir le hionsaitheoirí ansin íocaíocht a éileamh mar mhalairt ar rochtain a thabhairt ar ais ar na comhaid criptithe. D'aimsigh taighdeoirí earraí ransom Khonsari in ionsaithe Log4Shell. Díríonn siad ar fhreastalaithe Windows agus baineann siad úsáid as an gcreat .NET.
Cad a tharlaíonn ansin?
Tuar saineolaithe go bhféadfadh go dtógfaidh sé míonna nó b’fhéidir fiú blianta chun an chaos a d’eascair as leochaileacht Log4J a réiteach go hiomlán.
Cuimsíonn an próiseas seo gach córas lena mbaineann a nuashonrú le leagan paiste. Fiú má tá na córais seo go léir patráilte, tá an baol ann fós maidir le cúldoirse a d’fhéadfadh a bheith curtha cheana féin ag hackers leis an bhfuinneog a raibh freastalaithe oscailte le haghaidh ionsaí.
Go leor réitigh agus maoluithe ann chun feidhmchláir a chosc ó bheith á ndúshaothrú ag an bhfabht seo. D'athraigh an leagan nua Log4j 2.15.0-rc1 socruithe éagsúla chun an leochaileacht seo a mhaolú.
Díchumasófar na gnéithe go léir a úsáideann JNDI de réir réamhshocraithe agus cuireadh srian ar chianchuardaigh freisin. Má dhíchumasaítear an ghné chuardaigh ar do chumraíocht Log4j, cabhróidh sé seo leis an riosca go dtarlódh sé a shaothrú.
Lasmuigh de Log4j, tá gá fós le plean níos leithne chun saothrú foinse oscailte a chosc.
Níos luaithe i mí na Bealtaine, d'eisigh an Teach Bán ráiteas ordú feidhmiúcháin a bhí dírithe ar chibearshlándáil náisiúnta a fheabhsú. Áiríodh leis foráil do bhille ábhar bogearraí (SBOM) a bhí go bunúsach ina dhoiciméad foirmiúil ina raibh liosta de gach mír a theastaigh chun an feidhmchlár a thógáil.
Áirítear leis seo páirteanna mar an foinse oscailte pacáistí, spleáchais, agus APIs a úsáidtear le haghaidh forbartha. Cé go bhfuil smaoineamh SBOManna ina chuidiú don trédhearcacht, an gcuideoidh sé go mór leis an tomhaltóir?
D’fhéadfadh go mbeadh sé ró-dheacair spleáchais a uasghrádú. Is féidir le cuideachtaí rogha a dhéanamh gan aon fhíneálacha a íoc seachas am breise a chur amú ag aimsiú pacáistí malartacha. B'fhéidir nach mbeidh na SBOManna seo úsáideach ach amháin má tá a gcuid raon feidhme a teoranta tuilleadh.
Conclúid
Is mó atá i gceist le Log4j ná fadhb theicniúil d’eagraíochtaí.
Ní mór do cheannairí gnó a bheith ar an eolas faoi rioscaí féideartha a d'fhéadfadh tarlú nuair a bhíonn a gcuid freastalaithe, táirgí nó seirbhísí ag brath ar chód nach bhfuil siad féin á gcothabháil.
Bíonn riosca i gcónaí ag baint le brath ar fheidhmchláir foinse oscailte agus tríú páirtí. Ba cheart do chuideachtaí smaoineamh ar straitéisí maolaithe riosca a oibriú amach sula dtagann bagairtí nua chun solais.
Braitheann go leor den ghréasán ar bhogearraí foinse oscailte arna gcothabháil ag na mílte oibrithe deonacha ar fud an domhain.
Más mian linn an gréasán a choinneáil in áit shábháilte, ba cheart do rialtais agus corparáidí infheistíocht a dhéanamh i gcistiú iarrachtaí foinse oscailte agus gníomhaireachtaí cibearshlándála amhail CISA.
Leave a Reply