នៅចុងខែវិច្ឆិកា ឆ្នាំ 2021 យើងបានរកឃើញការគម្រាមកំហែងដ៏ធំមួយចំពោះសន្តិសុខតាមអ៊ីនធឺណិត។ ការកេងប្រវ័ញ្ចនេះនឹងអាចប៉ះពាល់ដល់ប្រព័ន្ធកុំព្យូទ័ររាប់លាននៅទូទាំងពិភពលោក។
នេះគឺជាការណែនាំអំពីភាពងាយរងគ្រោះ Log4j និងរបៀបដែលកំហុសការរចនាដែលមើលរំលងបានបន្សល់ទុកជាង 90% នៃសេវាកម្មកុំព្យូទ័ររបស់ពិភពលោកបើកការវាយប្រហារ។
Apache Log4j គឺជាឧបករណ៍ប្រើប្រាស់ការកត់ត្រាដែលមានមូលដ្ឋានលើ Java បើកចំហរដែលត្រូវបានបង្កើតឡើងដោយមូលនិធិកម្មវិធី Apache ។ ដើមឡើយត្រូវបានសរសេរដោយ Ceki Gülcü ក្នុងឆ្នាំ 2001 ឥឡូវនេះវាជាផ្នែកមួយនៃសេវាកម្ម Apache Logging Services ដែលជាគម្រោងនៃមូលនិធិកម្មវិធី Apache ។
ក្រុមហ៊ុននានាជុំវិញពិភពលោកប្រើប្រាស់បណ្ណាល័យ Log4j ដើម្បីបើកការកត់ត្រានៅលើកម្មវិធីរបស់ពួកគេ។ តាមពិតទៅ បណ្ណាល័យ Java គឺមានគ្រប់ទីកន្លែង អ្នកអាចស្វែងរកវានៅក្នុងកម្មវិធីពី Amazon, Microsoft, Google និងច្រើនទៀត។
ភាពលេចធ្លោនៃបណ្ណាល័យនេះមានន័យថា កំហុសដែលអាចកើតមាននៅក្នុងកូដអាចទុកឱ្យកុំព្យូទ័ររាប់លានបើកឱ្យមានការលួចចូល។ នៅថ្ងៃទី២៤ ខែវិច្ឆិកា ឆ្នាំ២០២១ ក សន្តិសុខពពក អ្នកស្រាវជ្រាវដែលធ្វើការឱ្យ Alibaba បានរកឃើញគុណវិបត្តិដ៏គួរឱ្យភ័យខ្លាចមួយ។
ភាពងាយរងគ្រោះ Log4j ដែលត្រូវបានគេស្គាល់ថា Log4Shell នោះមិនមាននរណាកត់សម្គាល់តាំងពីឆ្នាំ 2013។ ភាពងាយរងគ្រោះនេះបានអនុញ្ញាតឱ្យតួអង្គព្យាបាទដំណើរការកូដនៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់ដែលកំពុងដំណើរការ Log4j ។ វាត្រូវបានលាតត្រដាងជាសាធារណៈនៅថ្ងៃទី ៩ ខែធ្នូ ឆ្នាំ ២០២១
អ្នកជំនាញផ្នែកឧស្សាហកម្មហៅ Log4Shell ថាមានគុណវិបត្តិ ភាពងាយរងគ្រោះធំបំផុតនៅក្នុងអង្គចងចាំថ្មីៗ.
ក្នុងសប្តាហ៍បន្ទាប់ពីការបោះពុម្ពផ្សាយនៃភាពងាយរងគ្រោះ ក្រុមសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការវាយប្រហាររាប់លាន។ អ្នកស្រាវជ្រាវខ្លះថែមទាំងសង្កេតឃើញអត្រានៃការវាយប្រហារជាងមួយរយក្នុងមួយនាទី។
តើវាដំណើរការយ៉ាងដូចម្តេច?
ដើម្បីយល់ពីមូលហេតុដែល Log4Shell មានគ្រោះថ្នាក់ខ្លាំង យើងត្រូវយល់ពីអ្វីដែលវាមានសមត្ថភាព។
ភាពងាយរងគ្រោះ Log4Shell អនុញ្ញាតឲ្យដំណើរការកូដតាមអំពើចិត្ត ដែលជាមូលដ្ឋានមានន័យថា អ្នកវាយប្រហារអាចដំណើរការពាក្យបញ្ជា ឬកូដណាមួយនៅលើម៉ាស៊ីនគោលដៅ។
តើវាសម្រេចបានដោយរបៀបណា?
ដំបូងយើងត្រូវយល់ថា JNDI ជាអ្វី។
Java Naming and Directory Interface (JNDI) គឺជាសេវាកម្ម Java ដែលអនុញ្ញាតឱ្យកម្មវិធី Java ស្វែងរក និងស្វែងរកទិន្នន័យ និងធនធានតាមរយៈឈ្មោះមួយ។ សេវាកម្មថតឯកសារទាំងនេះមានសារៈសំខាន់ ព្រោះវាផ្តល់នូវសំណុំកំណត់ត្រាដែលបានរៀបចំសម្រាប់អ្នកអភិវឌ្ឍន៍ដើម្បីងាយស្រួលយោងនៅពេលបង្កើតកម្មវិធី។
JNDI អាចប្រើពិធីការផ្សេងៗដើម្បីចូលទៅកាន់ថតជាក់លាក់មួយ។ ពិធីការមួយក្នុងចំណោមពិធីការទាំងនេះគឺ Lightweight Directory Access Protocol ឬ LDAP ។
នៅពេលកត់ត្រាខ្សែអក្សរ។ កំណត់ហេតុ4j អនុវត្តការជំនួសខ្សែអក្សរ នៅពេលដែលពួកគេជួបប្រទះកន្សោមនៃទម្រង់ ${prefix:name}
.
ឧទាហរណ៍, Text: ${java:version}
អាចត្រូវបានកត់ត្រាជាអត្ថបទ៖ Java កំណែ 1.8.0_65 ។ ប្រភេទនៃការជំនួសទាំងនេះគឺជារឿងធម្មតា។
យើងក៏អាចមានកន្សោមដូចជា Text: ${jndi:ldap://example.com/file}
ដែលប្រើប្រព័ន្ធ JNDI ដើម្បីផ្ទុកវត្ថុ Java ពី URL តាមរយៈពិធីការ LDAP ។
វាមានប្រសិទ្ធភាពផ្ទុកទិន្នន័យដែលមកពី URL នោះទៅក្នុងម៉ាស៊ីន។ អ្នកលួចចូលដែលមានសក្តានុពលណាមួយអាចបង្ហោះកូដព្យាបាទនៅលើ URL សាធារណៈ ហើយរង់ចាំម៉ាស៊ីនដែលប្រើ Log4j ដើម្បីកត់ត្រាវា។
ដោយសារខ្លឹមសារនៃសារកំណត់ហេតុមានទិន្នន័យដែលគ្រប់គ្រងដោយអ្នកប្រើប្រាស់ ហេកឃ័រអាចបញ្ចូលឯកសារយោង JNDI ផ្ទាល់របស់ពួកគេដែលចង្អុលទៅម៉ាស៊ីនមេ LDAP ដែលពួកគេគ្រប់គ្រង។ ម៉ាស៊ីនមេ LDAP ទាំងនេះអាចពោរពេញដោយវត្ថុ Java ព្យាបាទ ដែល JNDI អាចប្រតិបត្តិតាមរយៈភាពងាយរងគ្រោះ។
អ្វីដែលធ្វើឱ្យវាកាន់តែអាក្រក់នោះគឺថាវាមិនមានបញ្ហាថាតើកម្មវិធីជាផ្នែកខាងម៉ាស៊ីនបម្រើឬកម្មវិធីខាងអតិថិជនទេ។
ដរាបណាមានវិធីមួយសម្រាប់អ្នកកាប់ឈើដើម្បីអានកូដព្យាបាទរបស់អ្នកវាយប្រហារ កម្មវិធីនៅតែបើកដើម្បីកេងប្រវ័ញ្ច។
តើនរណាជាអ្នករងផលប៉ះពាល់?
ភាពងាយរងគ្រោះប៉ះពាល់ដល់ប្រព័ន្ធ និងសេវាកម្មទាំងអស់ដែលប្រើ APache Log4j ជាមួយនឹងកំណែ 2.0 រហូតដល់ និងរួមទាំង 2.14.1។
អ្នកជំនាញផ្នែកសន្តិសុខជាច្រើនបានផ្តល់ដំបូន្មានថា ភាពងាយរងគ្រោះអាចប៉ះពាល់ដល់កម្មវិធីមួយចំនួនដែលប្រើប្រាស់ Java។
កំហុសនេះត្រូវបានរកឃើញដំបូងនៅក្នុងវីដេអូហ្គេម Minecraft ដែលគ្រប់គ្រងដោយក្រុមហ៊ុន Microsoft ។ ក្រុមហ៊ុន Microsoft បានជំរុញអ្នកប្រើប្រាស់របស់ពួកគេឱ្យដំឡើងកំណែកម្មវិធី Java edition Minecraft របស់ពួកគេដើម្បីការពារហានិភ័យណាមួយ។
លោក Jen Easterly នាយកទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ (CISA) មានប្រសាសន៍ថា អ្នកលក់មាន ការទទួលខុសត្រូវសំខាន់ ដើម្បីការពារអ្នកប្រើប្រាស់ចុងក្រោយពីតួអង្គព្យាបាទដែលទាញយកភាពងាយរងគ្រោះនេះ។
"អ្នកលក់ក៏គួរតែទាក់ទងជាមួយអតិថិជនរបស់ពួកគេផងដែរ ដើម្បីធានាថាអ្នកប្រើប្រាស់ចុងក្រោយដឹងថាផលិតផលរបស់ពួកគេមានចំណុចងាយរងគ្រោះនេះហើយគួរតែផ្តល់អាទិភាពដល់ការធ្វើបច្ចុប្បន្នភាពកម្មវិធី។"
ការវាយប្រហារត្រូវបានគេរាយការណ៍ថាបានចាប់ផ្តើមហើយ។ ក្រុមហ៊ុន Symantec ដែលជាក្រុមហ៊ុនដែលផ្តល់កម្មវិធីសុវត្ថិភាពតាមអ៊ីនធឺណិតបានសង្កេតឃើញសំណើវាយប្រហារផ្សេងៗគ្នា។
នេះគឺជាឧទាហរណ៍មួយចំនួននៃប្រភេទនៃការវាយប្រហារដែលអ្នកស្រាវជ្រាវបានរកឃើញ៖
- botnet
Botnets គឺជាបណ្តាញកុំព្យូទ័រដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ភាគីវាយប្រហារតែមួយ។ ពួកគេជួយធ្វើការវាយប្រហារ DDoS លួចទិន្នន័យ និងការបោកប្រាស់ផ្សេងទៀត។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញ Muhstik botnet នៅក្នុងស្គ្រីបសែលដែលបានទាញយកពីការកេងប្រវ័ញ្ច Log4j ។
- XMRig Miner Trojan
XMRig គឺជាប្រភពបើកចំហរ cryptocurrency miner ដែលប្រើ CPUs ដើម្បីជីកយករ៉ែ Monero token ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចដំឡើង XMRig នៅលើឧបករណ៍របស់មនុស្ស ដូច្នេះពួកគេអាចប្រើប្រាស់ថាមពលដំណើរការរបស់ពួកគេដោយមិនចាំបាច់មានចំណេះដឹងរបស់ពួកគេ។
- Khonsari Ransomware
Ransomware សំដៅលើទម្រង់នៃមេរោគដែលបានរចនាឡើង អ៊ិនគ្រីបឯកសារ នៅលើកុំព្យូទ័រ។ បន្ទាប់មក អ្នកវាយប្រហារអាចទាមទារការទូទាត់ជាថ្នូរនឹងការផ្តល់សិទ្ធិចូលប្រើឯកសារដែលបានអ៊ិនគ្រីបវិញ។ អ្នកស្រាវជ្រាវបានរកឃើញមេរោគ ransomware របស់ Khonsari នៅក្នុងការវាយប្រហារ Log4Shell ។ ពួកគេកំណត់គោលដៅម៉ាស៊ីនមេ Windows និងប្រើប្រាស់ក្របខ័ណ្ឌ .NET ។
តើមានអ្វីកើតឡើងបន្ទាប់ទៀត?
អ្នកជំនាញព្យាករណ៍ថា វាអាចចំណាយពេលច្រើនខែ ឬប្រហែលជាច្រើនឆ្នាំ ដើម្បីជួសជុលភាពចលាចលដែលកើតឡើងដោយភាពងាយរងគ្រោះ Log4J។
ដំណើរការនេះពាក់ព័ន្ធនឹងការធ្វើបច្ចុប្បន្នភាពរាល់ប្រព័ន្ធដែលរងផលប៉ះពាល់ជាមួយនឹងកំណែបំណះ។ ទោះបីជាប្រព័ន្ធទាំងអស់នេះត្រូវបាន patched ក៏ដោយ ក៏នៅតែមានការគម្រាមកំហែងនៃ backdoors ដែលអាចកើតមាន ដែលពួក Hacker ប្រហែលជាបានបន្ថែមទៅ windows ដែល servers បើកសម្រាប់ការវាយប្រហារ។
មនុស្សជាច្រើន ដំណោះស្រាយ និងការបន្ធូរបន្ថយ មាន ដើម្បីការពារកម្មវិធីពីការកេងប្រវ័ញ្ចដោយកំហុសនេះ។ កំណែ Log4j ថ្មី 2.15.0-rc1 បានផ្លាស់ប្តូរការកំណត់ផ្សេងៗ ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះនេះ។
មុខងារទាំងអស់ដែលប្រើ JNDI នឹងត្រូវបានបិទតាមលំនាំដើម ហើយការរកមើលពីចម្ងាយក៏ត្រូវបានដាក់កម្រិតផងដែរ។ ការបិទមុខងាររកមើលនៅលើការដំឡើង Log4j របស់អ្នកនឹងជួយកាត់បន្ថយហានិភ័យនៃការកេងប្រវ័ញ្ចដែលអាចកើតមាន។
នៅខាងក្រៅ Log4j នៅតែមានតម្រូវការសម្រាប់ផែនការទូលំទូលាយដើម្បីការពារការកេងប្រវ័ញ្ចប្រភពបើកចំហ។
កាលពីដើមខែឧសភា សេតវិមានបានចេញសេចក្តីប្រកាសមួយ។ បទបញ្ជាប្រតិបត្តិ។ ដែលមានគោលបំណងធ្វើឱ្យប្រសើរឡើងនូវសន្តិសុខតាមអ៊ីនធឺណិតជាតិ។ វារួមបញ្ចូលទាំងការផ្តល់សម្រាប់វិក្កយបត្រផ្នែកទន់ (SBOM) ដែលជាឯកសារផ្លូវការដែលមានបញ្ជីគ្រប់ធាតុចាំបាច់សម្រាប់បង្កើតកម្មវិធី។
នេះរួមបញ្ចូលទាំងផ្នែកដូចជា ប្រភពបើកចំហ កញ្ចប់ ភាពអាស្រ័យ និង API ដែលប្រើសម្រាប់ការអភិវឌ្ឍន៍។ ទោះបីជាគំនិតនៃ SBOMs មានប្រយោជន៍សម្រាប់តម្លាភាព តើវាពិតជាអាចជួយអ្នកប្រើប្រាស់បានទេ?
ការអាប់ដេតភាពអាស្រ័យអាចជាការរំខានច្រើនពេក។ ក្រុមហ៊ុនអាចគ្រាន់តែជ្រើសរើសបង់ប្រាក់ពិន័យជាជាងប្រថុយនឹងការខ្ជះខ្ជាយពេលវេលាបន្ថែមក្នុងការស្វែងរកកញ្ចប់ជំនួស។ ប្រហែលជា SBOMs ទាំងនេះនឹងមានប្រយោជន៍តែប៉ុណ្ណោះប្រសិនបើរបស់ពួកគេ។ វិសាលភាព ត្រូវបានកំណត់បន្ថែមទៀត។
សន្និដ្ឋាន
បញ្ហា Log4j គឺលើសពីបញ្ហាបច្ចេកទេសសម្រាប់អង្គការ។
អ្នកដឹកនាំអាជីវកម្មត្រូវតែដឹងអំពីហានិភ័យដែលអាចកើតមាននៅពេលដែលម៉ាស៊ីនមេ ផលិតផល ឬសេវាកម្មរបស់ពួកគេពឹងផ្អែកលើកូដដែលពួកគេខ្លួនឯងមិនបានរក្សា។
ការពឹងផ្អែកលើកម្មវិធីប្រភពបើកចំហ និងភាគីទីបីតែងតែមកជាមួយនឹងហានិភ័យមួយចំនួន។ ក្រុមហ៊ុនគួរតែពិចារណាលើការអនុវត្តន៍យុទ្ធសាស្រ្តកាត់បន្ថយហានិភ័យ មុនពេលការគំរាមកំហែងថ្មីៗលេចចេញជារូបរាង។
គេហទំព័រភាគច្រើនពឹងផ្អែកលើកម្មវិធីប្រភពបើកចំហដែលរក្សាដោយអ្នកស្ម័គ្រចិត្តរាប់ពាន់នាក់នៅទូទាំងពិភពលោក។
ប្រសិនបើយើងចង់រក្សាគេហទំព័រជាកន្លែងមានសុវត្ថិភាព រដ្ឋាភិបាល និងសាជីវកម្មគួរតែវិនិយោគក្នុងការផ្តល់មូលនិធិដល់កិច្ចខិតខំប្រឹងប្រែងប្រភពបើកចំហ និងភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិតដូចជា ស៊ីស៊ី.
សូមផ្ដល់យោបល់