Teburin Abubuwan Ciki[Boye][Nuna]
A ƙarshen Nuwamba 2021, mun gano babbar barazana ga tsaro ta intanet. Wannan cin zarafi zai iya shafar miliyoyin tsarin kwamfuta a duk duniya.
Wannan jagora ne akan raunin Log4j da kuma yadda kuskuren ƙira da ba a kula da shi ya bar sama da kashi 90% na ayyukan kwamfuta na duniya buɗe don kai hari.
Apache Log4j shine buɗaɗɗen tushen tushen shigar da kayan aikin shiga na Java wanda Gidauniyar Software ta Apache ta haɓaka. Asalin Ceki Gülcü ne ya rubuta shi a cikin 2001, yanzu yana cikin Sabis na Logging Apache, aikin Gidauniyar Software na Apache.
Kamfanoni a duk duniya suna amfani da ɗakin karatu na Log4j don ba da damar shiga aikace-aikacen su. A gaskiya ma, ɗakin karatu na Java yana da yawa a ko'ina, zaka iya samun shi a cikin aikace-aikace daga Amazon, Microsoft, Google, da sauransu.
Shahararriyar ɗakin karatu yana nufin cewa duk wata matsala mai yuwuwa a cikin lambar na iya barin miliyoyin kwamfutoci a buɗe don kutse. A ranar 24 ga Nuwamba, 2021, a girgije tsaro wani mai bincike da ke aiki da Alibaba ya gano mummunar aibi.
Rashin lahani na Log4j, wanda kuma aka sani da Log4Shell, ya kasance ba a lura da shi ba tun 2013. Rashin lahani ya ba da damar miyagu ƴan wasan kwaikwayo don gudanar da lamba akan tsarin da abin ya shafa ke gudana Log4j. An bayyana shi a bainar jama'a a ranar 9 ga Disamba, 2021
Masana masana'antu suna kiran kuskuren Log4Shell mafi girman rauni a cikin ƙwaƙwalwar ajiyar kwanan nan.
A cikin makon da ya biyo bayan buga raunin, ƙungiyoyin tsaro ta yanar gizo sun gano miliyoyin hare-hare. Wasu masu binciken ma sun lura da adadin hare-hare sama da ɗari a cikin minti daya.
Yaya ta yi aiki?
Don fahimtar dalilin da yasa Log4Shell yake da haɗari sosai, muna buƙatar fahimtar abin da yake iyawa.
Rashin lahani na Log4Shell yana ba da izinin aiwatar da lambar sabani, wanda a zahiri yana nufin cewa maharin na iya gudanar da kowane umarni ko lamba akan na'ura mai niyya.
Ta yaya yake cim ma wannan?
Da farko, muna buƙatar fahimtar menene JNDI.
Interface Interface na Sunan Java (JNDI) sabis ne na Java wanda ke bawa shirye-shiryen Java damar ganowa da bincika bayanai da albarkatu ta hanyar suna. Waɗannan sabis ɗin adireshi suna da mahimmanci saboda suna ba da tsari mai tsari don masu haɓakawa don yin la'akari da sauƙi lokacin ƙirƙirar aikace-aikace.
JNDI na iya amfani da ka'idoji daban-daban don samun damar wani kundin adireshi. Ɗaya daga cikin waɗannan ka'idojin ita ce Yarjejeniyar Samun Taimako Mai Sauƙi, ko LDAP.
Lokacin shigar da igiya, Shiga 4j yana aiwatar da musanya kirtani lokacin da suka ci karo da maganganun sigar ${prefix:name}
.
Misali, Text: ${java:version}
ana iya shigar da shi azaman Rubutu: Sigar Java 1.8.0_65. Irin waɗannan sauye-sauye sun zama ruwan dare gama gari.
Hakanan muna iya samun maganganu irin su Text: ${jndi:ldap://example.com/file}
wanda ke amfani da tsarin JNDI don loda wani abu Java daga URL ta hanyar LDAP.
Wannan yana ɗaukar nauyin bayanan da ke fitowa daga URL ɗin cikin injin. Duk wani mai yuwuwar dan gwanin kwamfuta zai iya karbar lambar mugunta akan URL na jama'a kuma ya jira injuna ta amfani da Log4j don shiga ta.
Tun da abubuwan da ke cikin saƙon log ɗin sun ƙunshi bayanan sarrafa mai amfani, masu satar bayanai za su iya shigar da nassoshin JNDI nasu waɗanda ke nuna sabar LDAP waɗanda suke sarrafawa. Waɗannan sabobin LDAP na iya zama cike da abubuwan Java masu cutarwa waɗanda JNDI za su iya aiwatarwa ta hanyar rashin ƙarfi.
Abin da ya sa wannan ya fi muni shi ne cewa ba kome ba idan aikace-aikacen ta gefen uwar garke ne ko aikace-aikacen gefen abokin ciniki.
Muddin akwai hanyar da mai shiga ya karanta lambar ɓarna na maharin, aikace-aikacen har yanzu a buɗe yake don yin amfani da shi.
Wanene ya shafi?
Rashin lahani yana rinjayar duk tsarin da ayyuka masu amfani da APache Log4j, tare da nau'ikan 2.0 har zuwa kuma gami da 2.14.1.
Kwararrun tsaro da yawa suna ba da shawarar cewa lahanin na iya yin tasiri ga adadin aikace-aikacen ta amfani da Java.
An fara gano kuskuren a wasan bidiyo na Minecraft mallakar Microsoft. Microsoft ya bukaci masu amfani da su da su haɓaka software na Minecraft na Java don hana duk wani haɗari.
Jen Easterly, Darakta na Hukumar Tsaro ta Intanet da Tsaro ta Intanet (CISA) ta ce masu siyarwa suna da babban nauyi don hana masu amfani ƙarshe daga ƙeta ƴan wasan kwaikwayo yin amfani da wannan raunin.
"Masu tallace-tallace kuma su kasance suna sadarwa tare da abokan cinikin su don tabbatar da masu amfani da ƙarshen sun san cewa samfurin su ya ƙunshi wannan raunin kuma ya kamata su ba da fifikon sabunta software."
Rahotanni sun ce tuni aka fara kai hare-haren. Symantec, kamfani ne da ke ba da software na tsaro ta yanar gizo, ya lura da buƙatun hari iri-iri.
Ga wasu misalan nau'ikan hare-haren da masu bincike suka gano:
- botnets
Botnets wata hanyar sadarwa ce ta kwamfutoci waɗanda ke ƙarƙashin ikon ƙungiya ɗaya masu kai hari. Suna taimakawa wajen kai harin DDoS, satar bayanai, da sauran zamba. Masu bincike sun lura da Muhstik botnet a cikin rubutun harsashi da aka zazzage daga amfani da Log4j.
- XMRig Miner Trojan
XMRig buɗaɗɗen tushen ma'adinin cryptocurrency ne wanda ke amfani da CPUs don ma'adinin Monero. Masu laifi na Intanet na iya shigar da XMRig akan na'urorin mutane ta yadda za su iya amfani da ikon sarrafa su ba tare da saninsu ba.
- Khonsari Ransomware
Ransomware yana nufin wani nau'i na malware da aka tsara don encrypt fayiloli akan kwamfuta. Maharan na iya buƙatar biyan kuɗi don musanya don ba da dama ga ɓoyayyen fayilolin. Masu bincike sun gano Khonsari ransomware a harin Log4Shell. Suna kai hari kan sabar Windows kuma suna amfani da tsarin .NET.
Abin da ya faru na gaba?
Masana sun yi hasashen yana iya ɗaukar watanni ko watakila ma shekaru kafin a daidaita hargitsin da raunin Log4J ya haifar.
Wannan tsari ya ƙunshi ɗaukaka kowane tsarin da abin ya shafa tare da facin sigar. Ko da duk waɗannan tsare-tsare an daidaita su, har yanzu akwai barazanar yuwuwar ƙofofin baya waɗanda masu kutse sun riga sun ƙara zuwa taga cewa sabobin sun buɗe don kai hari.
Mutane da yawa mafita da raguwa akwai don hana aikace-aikace daga yin amfani da wannan kwaro. Sabuwar Log4j 2.15.0-rc1 ta canza saituna daban-daban don rage wannan raunin.
Duk fasalulluka masu amfani da JNDI za a kashe su ta tsohuwa kuma an taƙaita binciken nesa ma. Kashe fasalin dubawa akan saitin Log4j ɗinku zai taimaka rage haɗarin yuwuwar fa'ida.
A waje da Log4j, har yanzu akwai buƙatar babban tsari don hana fa'idodin buɗe ido.
A farkon watan Mayu, Fadar White House ta fitar da wata sanarwa Tsarin tsari wanda ke da nufin inganta tsaron yanar gizo na kasa. Ya haɗa da tanadi don lissafin kayan aikin software (SBOM) wanda ainihin takarda ce wacce ta ƙunshi jerin kowane abu da ake buƙata don gina aikace-aikacen.
Wannan ya haɗa da sassa kamar su Bude tushen fakiti, dogaro, da APIs da ake amfani da su don haɓakawa. Ko da yake ra'ayin SBOMs yana taimakawa ga bayyana gaskiya, shin da gaske zai taimaka wa mabukaci?
Haɓaka abubuwan dogaro na iya zama da wahala da yawa. Kamfanoni za su iya zaɓar kawai su biya kowane tara maimakon haɗarin ɓata ƙarin lokaci don nemo madadin fakiti. Wataƙila waɗannan SBOMs za su yi amfani ne kawai idan nasu ikonsa yana da iyaka gaba.
Kammalawa
Batun Log4j ya wuce kawai matsalar fasaha ga ƙungiyoyi.
Dole ne shugabannin kasuwanci su san yuwuwar haɗarin da ka iya faruwa lokacin da sabar su, samfuransu, ko ayyukansu suka dogara da lambar da su kansu ba sa kiyayewa.
Dogaro da buɗaɗɗen tushe da aikace-aikacen ɓangare na uku koyaushe yana zuwa tare da ɗan adadin haɗari. Kamfanoni yakamata suyi la'akari da aiwatar da dabarun rage haɗari kafin sabbin barazanar ta fito.
Yawancin gidan yanar gizon ya dogara da software mai buɗe ido wanda dubban masu sa kai ke kula da su a duk duniya.
Idan muna son kiyaye gidan yanar gizon wuri mai aminci, yakamata gwamnatoci da hukumomi su saka hannun jari don ba da gudummawar ayyukan budaddiyar tushe da hukumomin tsaro na intanet kamar su. CISA.
Leave a Reply