Efnisyfirlit[Fela][Sýna]
Log4Shell, varnarleysi á netinu, hafði nýlega áhrif á milljónir véla. Log4j, óljós en samt nánast alls staðar nálægur hugbúnaður, veldur því.
Log4j er notað til að skrá allar aðgerðir sem eiga sér stað bak við tjöldin í ýmsum tölvukerfum.
Það er byggt á opnu skógarhöggssafni sem er notað af fyrirtækjum og jafnvel ríkisstofnunum í flestum forritum.
Þar sem það er eitt versta netöryggisgat sem hefur fundist, er mikilvægt að vernda kerfin þín gegn þessum varnarleysi. En hvernig?
Við skulum kanna Log4j varnarleysi í smáatriðum og allar mögulegar lagfæringarlausnir fyrir það.
Hvað er Log4j?
Log4j er an opinn-uppspretta skógarhöggsramma sem gerir hugbúnaðarframleiðendum kleift að skrá mismunandi gögn í forritum sínum. Það er hluti af Apache Logging Services verkefninu, sem rekið er af Apache Hugbúnaður Foundation.
Hundruð vefsíðna og forrita nota Log4j til að framkvæma mikilvægar aðgerðir eins og að skrá gögn til villuleitar og annarra nota.
Þegar þú slærð inn eða smellir á lélegan nettengil og færð 404 villutilkynningu er þetta oft dæmi um Log4j í vinnunni. Vefþjónninn sem rekur lénið á veftenglinum sem þú reyndir að fá aðgang að upplýsir þig um að engin slík vefsíða sé til. Það skráir einnig atburðinn í Log4j fyrir kerfisstjóra þjónsins.
Í gegnum hugbúnaðarforrit eru svipuð greiningarmerki notuð. Í netleiknum Minecraft, til dæmis, notar þjónninn Log4j til að skrá virkni eins og heildar vinnsluminni sem notað er og notendaleiðbeiningar sendar inn í stjórnborðið.
Hvernig verður varnarleysið?
Uppflettingar eru nýr eiginleiki kynntur í Log4j 2.0, sem hjálpar til við að fella viðbótarupplýsingar í annálsfærslur. Ein af þessum uppflettingum er JNDI (Java Naming and Directory Interface) uppflettingin, sem er Java API til að hafa samskipti við skráaþjónustu.
Með því að nota þessa aðferð er hægt að kortleggja innri notendaauðkenni á raunveruleg notendanöfn. Þessi fyrirspurn afhjúpar nýuppgötvað RCE varnarleysi, þar sem ein af gagnategundunum sem LDAP þjónninn gefur upp er URI sem vísar á Java flokk, sem síðan er hlaðið inn í minni og keyrt af Log4j tilvikinu.
Vegna veikleika í inntaksstaðfestingu Log4j bókasafnsins er hægt að sprauta inn handahófskenndum LDAP netþjóni frá ótraustum uppruna. Vegna þess að þróunaraðilar gera ráð fyrir að gögn sem send eru í annála verði meðhöndluð sem venjulegur texti, er engin auka staðfesting á inntakinu og hættulegt notendainntak fer inn í annálana.
Log yfirlýsing gæti litið svona út:
Illgjarn notandi myndi nú setja inn JNDI uppflettingu sem vísar til fanturs LDAP netþjóns í URL færibreytu. JNDI uppflettingin yrði sem hér segir:
Log4j bókasafnið talar síðan við þennan LDAP netþjón á attacker.com til að fá möppuupplýsingar, þar á meðal gildi fyrir Java Factory og Java Codebase.
Þessi tvö gildi innihalda Java flokk árásarmannsins, sem síðan er hlaðinn inn í minni og keyrður af Log4j tilvikinu, og klárar keyrslu kóðans.
Hver er í hættu?
Log4j varnarleysið er ótrúlega breitt og hefur áhrif á viðskiptaforrit, innbyggð tæki og undirkerfi þeirra. Forrit sem verða fyrir áhrifum eru meðal annars Cisco Webex, Minecraft og FileZilla FTP.
Hins vegar er þetta alls ekki heill listi. Gallinn hefur jafnvel áhrif á Ingenuity Mars 2020 chopper verkefnið, sem notar Apache Log4j fyrir atburðaupptöku.
Öryggissamfélagið hefur tekið saman a lista yfir viðkvæm kerfi. Það er mikilvægt að hafa í huga að þessir listar eru stöðugt að uppfæra, þannig að ef tiltekið forrit eða kerfi er ekki með, ekki gera ráð fyrir að það hafi ekki áhrif á það.
Útsetning fyrir þessum varnarleysi er mjög líkleg, og jafnvel þótt sérstakur tæknistakki gildir ekki um Java, öryggisstjórnendur ættu að búast við mikilvægum birgðakerfum, SaaS birgjum, skýhýsingaraðilum og vefþjónum sem geri það.
Hvernig á að athuga með Log4j varnarleysi?
Fyrsta skrefið er að ákvarða hvort líkamsárás hafi þegar átt sér stað. Þú getur gert það með því að athuga kerfisskrárnar fyrir RCE-hleðslubrot.
Ef leit að hugtökum eins og „jndi“, „ldap“ eða „$::“ skilar einhverjum annálum ættu öryggisrannsakendur að kanna betur til að sjá hvort um lögmæta árás hafi verið að ræða eða eingöngu fingrafaratöku.
Margar árásir í náttúrunni fundust sem skiluðu engum skaðlegum farmi. Engu að síður voru þær framkvæmdar af öryggissérfræðingum til að ákvarða hversu mörg forrit voru viðkvæm fyrir þessari árás.
Næsta skref er að nota Log4j bókasafnið til að bera kennsl á öll verkefni. Ef útgáfur á milli 2.0-beta9 og 2.14.1 eru notaðar getur verkefnið verið viðkvæmt.
Í ljósi þess hve erfitt er að ákvarða hvar þessi varnarleysi er til staðar, getur verið æskilegra að gera ráð fyrir að verkefnið sé viðkvæmt og að uppfærsla á bókasafninu sé besta aðgerðin til að fjarlægja hættuna á keyrslu kóða.
Verkefnið er ekki viðkvæmt ef notuð útgáfa er minni en 2.0-beta 9, þó ætti samt að uppfæra Log4j bókasafnið vegna þess að útgáfur á 1.x sviðinu eru gamlar og fá ekki lengur uppfærslur.
Hvort sem næmt verkefni uppgötvast er ráðlagt að athuga hvort einhverjar upplýsingar sem skráðar eru með Log4j innihaldi upplýsingar sem notandinn getur breytt. Vefslóðir, færibreytur beiðni, hausar og vafrakökur eru dæmi um þessi gögn. Ef eitthvað af þessu er skráð er verkefnið í hættu.
Þessi þekking getur hjálpað þér að kafa frekar í kerfisskrárnar og ákvarða hvort vefforritið þitt hafi þegar orðið fyrir árás.
Það eru ókeypis verkfæri á netinu sem geta greint hvort vefforrit er viðkvæmt. Eitt af þessum forritum er Log4Shell veiðikona. Það er opinn uppspretta og fáanlegt á GitHub.
Ef viðkvæmt svæði kóða í netforritinu uppgötvast er hægt að nota hleðsluna sem upplýst tól gefur til að sprauta því inn í vefforritið. Prófunartækið myndi leiða í ljós tengingarnar sem myndast á milli vefforritsins þíns og LDAP þjónsins ef varnarleysið var nýtt.
Lausnir til að laga Log4j varnarleysi
Fyrsta skrefið er að uppfæra Log4j, sem þú getur gert með því að nota venjulega pakkastjóra eða með því að hlaða því niður beint af þessu síðu.
Það er líka hægt að minnka hagkvæmni veikleikans með því að stilla umhverfisbreytuna FORMAT MSG NO LOOKUPS á satt. Þessi mótvægisráðstöfun á þó aðeins við um Log4j útgáfur stærri en eða jafnt og 2.10.
Við skulum nú íhuga aðra valkosti.
1. Lausnir fyrir Log4j útgáfu 2.17.0
Það er ákveðið eindregið ráðlagt að nota Log4j útgáfu 2.15.0 til að verjast Log4Shell, en ef það er ekki mögulegt eru aðrar lausnir í boði.
Útgáfa 2.7.0 og síðar af Log4j: Það er gerlegt að verjast hvers kyns árás með því að breyta sniði atburðanna sem á að skrá með því að nota setningafræði prósentu m nolookups fyrir gögnin sem notandinn gefur upp. Þessi uppfærsla krefst þess að breyta Log4j stillingarskránni til að búa til nýja útgáfu af forritinu. Þar af leiðandi, áður en þessi nýja útgáfa er notuð, verður að endurtaka tæknilega og hagnýta staðfestingarþrep.
Log4j útgáfur 2.10.0 og nýrri: Það er líka hægt að verjast hvaða árás sem er með því að stilla log4j2.formatMsgNoLookups stillingarbreytu á satt, til dæmis þegar Java sýndarvélin er ræst með -Dlog4j2 valkostinum.“ formatMsgNoLookups = satt, Annar valmöguleiki er að fjarlægja JndiLookup flokkinn úr classpath röksemdinni, sem mun fjarlægja aðalárásarvektorinn (rannsakendur útiloka ekki möguleikann á öðrum árásarvektor).
Amazon Web Services býður upp á hotpatch sem „ætti að nota á eigin ábyrgð“. Önnur „tækni,“ eins og Logout4Shell, sem „notar þennan varnarleysi gegn sjálfu sér,“ hefur verið birt. Öryggissérfræðingurinn efast um lögmæti þessarar hreyfingar, sem felur í sér að „hakka vél til að laga hana.
2. Vandamálið hefur verið leyst í Log4j v2.17.0.
Fyrir útgáfur stærri en 2.10: Log4j2.formatMsgNoLookups ætti að vera stillt á satt.
Fyrir útgáfur 2.0 til 2.10.0: Keyrðu eftirfarandi skipun til að fjarlægja LDAP flokkinn úr Log4j.
Log4j2.formatMsgNoLookups ætti að vera stillt á satt í kerfisstillingunum.
Mótvægi í JVM
Mótun með JVM breytum er ekki lengur valkostur. Aðrar mótvægisaðferðir halda áfram að skila árangri. Uppfærðu í Log4j útgáfu 2.17.0 ef mögulegt er. Það er til flutningsleiðbeiningar fyrir Log4j v1.
Ef uppfærsla er ekki möguleg skaltu ganga úr skugga um að íhlutir biðlarahliðar og miðlarahliðar séu með -Dlog4j2.formatMsgNoLookups = true system eignasettið.
Vinsamlegast athugaðu að Log4j v1 hefur náð endalokum (EOL) og mun ekki lengur fá villuleiðréttingar. Aðrir RCE vektorar eru einnig næmir fyrir Log4j v1. Þess vegna hvetjum við þig til að uppfæra í Log4j 2.17.0 eins fljótt og auðið er.
3. Mótvægisaðgerðir
Núverandi hetjudáð getur ekki virkað jafnvel þótt Log4j sé næm í sumum tilfellum, svo sem ef hýsingarvélin keyrir Java útgáfu hærri en 6u212, 7u202, 8u192 eða 11.0.2.
Þetta er vegna betri Java-nafna- og skráarviðmóts (JNDI) ytri hleðsluverndar í núverandi útgáfum, sem er nauðsynleg til að árásin virki.
Ennfremur, með Log4j útgáfum stærri en 2.10, er hægt að forðast vandamálið með því að stilla formatMsgNoLookups kerfisgildið á satt, gefa upp JVM rökin -Dlog4j2.formatMsgNoLookups = true, eða eyða JndiLookup bekknum úr bekkjarstígnum.
Í millitíðinni, þar til viðkvæm tilvik eru lagfærð, er hægt að bregðast við varnarleysinu með því að nota tæknina hér að neðan:
- Stilltu kerfiseiginleikann log4j2.formatMsgNoLookups á satt fyrir >=2.10.
- Stilltu umhverfisvalkostinn LOG4J FORMAT MSG NO LOOKUPS á satt fyrir >=2.10.
- Fjarlægðu JndiLookup.class úr classpath fyrir 2.0-beta9 til 2.10.0: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Ein ráðlögð besta aðferðin er að takmarka útgönguumferð á internetið við aðeins viðeigandi tengi.
Þó að flestar árásir á þessu sviði séu sendar yfir HTTP, gæti varnarleysið verið nýtt með hvaða samskiptareglur sem skráir innsláttargögn notenda með Log4j.
Hins vegar er uppfærsla í log4j 2.17.0 besta lækningin vegna þess að einhver getur uppgötvað viðbótaraðferð við málið. Ennfremur hafa margir útgefendur og framleiðendur tilkynnt um endurbætur á þjónustu sinni eða öppum.
4. Log4Shell varnarleysi plástur
Log4j er alls staðar til staðar, sérstaklega núna þegar verið er að nýta veikleikann. Til að draga saman, allt sem þú þarft að gera er að innihalda eftirfarandi stafi í annálunum sem Log4j skoðar.
Og þetta mun hlaða niður og keyra Java skrána sem staðsett er í lok vefslóðarinnar. Það er jafn einfalt og það er dramatískt.
Eins og þér er kunnugt er mikilvægt að uppfæra log4j í útgáfu >= 2.17.0 til að bæta úr þessu Log4Shell varnarleysi (CVE-2021-44228).
Ef þetta er ekki mögulegt:
Fyrir forrit sem nota Log4j bókasafnsútgáfur 2.10.0 og nýrri, er einnig hægt að verjast öllum árásum með því að stilla stillingarbreytu log4j2.formatMsgNoLookups á satt, til dæmis, meðan Java sýndarvélin er ræst með -Dlog4j2.formatMsgNoLookups = true valmöguleika.
Annar valmöguleiki er að eyða JndiLookup bekknum úr classpath röksemdinni, sem mun fjarlægja aðalárásarvektorinn (rannsakendur útiloka ekki að annar árásarvektor sé til).
Athugaðu
Stofnanir sem eru hikandi eða vilja ekki gera breytingar á viðkvæmum kerfum (eða sem eru en vilja setja upp auka öryggisráðstafanir) ættu að hugsa um:
- Gakktu úr skugga um að allri umferð sé beint í gegnum iSensor/WAF/IPS. Þetta getur komið í veg fyrir að árásin fái aðgang að kerfinu.
- Takmörkun á umferðarmagni sem getur náð til næmra kerfisins Ef kerfið þarf ekki að vera tengt við internetið, takmarkaðu aðgang að aðeins nauðsynlegum og áreiðanlegum IPS og sviðum.
- Að draga úr leyfilegri útsendingu gestgjafans. Vegna þess að þessi árás starfar með því að tengjast fantur netþjóni, ætti að loka fyrir allar óþarfa IP tölur og tengi á eldvegg.
- Ef ekki er lengur þörf á þjónustunni ætti hún að vera óvirk þar til lagfæring er tilbúin.
Niðurstaða
Log4j gallarnir hneyksluðu samfélagið okkar og minntu okkur öll á hversu háð við erum á opnum hugbúnaði.
Log4j er einstakt. Það er hvorki stýrikerfi, né vafri, né hugbúnaður. Frekar, það er það sem forritarar vísa til sem bókasafn, pakka eða kóðaeiningu. Það þjónar bara einum tilgangi, það er að halda skrá yfir það sem gerist á netþjóni.
Fólk sem skrifar kóða vill frekar einbeita sér að því sem gerir hugbúnaðinn þeirra sérstakan. Þeir hafa ekki áhuga á að finna upp hjólið aftur. Fyrir vikið treysta þeir á ofgnótt af núverandi kóðasöfnum, eins og Log4j.
Log4j einingin er fengin frá Apache, mest notaða vefþjónahugbúnaðinum. Þess vegna er hægt að uppgötva það á milljónum netþjóna. Þess vegna auka öryggisógnirnar.
Ég vona að ofangreindar lausnir hjálpi þér að halda tækjunum þínum öruggum.
Fylgstu með HashDork fyrir fleiri gagnlegar upplýsingar frá tækniheiminum.
Skildu eftir skilaboð