Fizahan-takelaka[Afeno][Aseho]
Log4Shell, vulnerability amin'ny Internet, vao haingana no nisy fiantraikany tamin'ny milina an-tapitrisany. Log4j, logiciel manjavozavo nefa saika hita eny rehetra eny, no mahatonga izany.
Log4j dia ampiasaina hanoratana ny hetsika rehetra mitranga ao ambadiky ny sehatra amin'ny rafitra informatika isan-karazany.
Izy io dia mifototra amin'ny tranomboky fitehirizam-bokatra misokatra izay ampiasain'ny orinasa ary na dia ny fikambanan'ny governemanta aza amin'ny ankamaroan'ny fampiharana.
Amin'ny maha-iray amin'ireo lavaka fiarovana amin'ny cyber ratsy indrindra tsy hita hatramin'izay, dia ilaina ny miaro ny rafitrao amin'ity vulnerable ity. Ahoana anefa?
Andeha hojerentsika amin'ny an-tsipiriany ny vulnerability Log4j sy ny vahaolana rehetra azo atao amin'izany.
Inona no atao hoe Log4j?
Log4j dia ny Open-source rafitra log izay ahafahan'ny mpamorona rindrambaiko mirakitra angona samihafa ao anatin'ny rindranasany. Izy io dia singa iray amin'ny tetikasa Apache Logging Services, izay tantanin'ny Apache Software Foundation.
Tranonkala sy fampiharana an-jatony no mampiasa Log4j mba hanaovana hetsika manakiana toy ny fandraketana angon-drakitra ho an'ny debugging sy ny fampiasana hafa.
Rehefa mampiditra na manindry rohy an-tserasera mahantra ianao ary mahazo fampandrenesana fahadisoana 404, ohatra matetika amin'ny Log4j any am-piasana izany. Ny mpizara tranonkala izay mitantana ny sehatry ny rohin-tranonkala nozahanao idirana dia mampahafantatra anao fa tsy misy pejin-tranonkala toy izany. Izy io koa dia mirakitra ny hetsika ao amin'ny Log4j ho an'ny mpitantana ny rafitry ny server.
Amin'ny programa rindrambaiko rehetra dia ampiasaina ny famantarana diagnostika mitovy. Ao amin'ny lalao an-tserasera Minecraft, ohatra, ny mpizara dia mampiasa Log4j mba hisoratra anarana ny hetsika toy ny totalin'ny RAM ampiasaina sy ny torolalan'ny mpampiasa alefa ao amin'ny console.
Ahoana no mitranga ny vulnerability?
Ny fitadiavana dia endri-javatra vaovao nampidirina tao amin'ny Log4j 2.0, izay manampy amin'ny fampidirana fampahalalana fanampiny amin'ny fidirana log. Ny iray amin'ireo fitadiavana ireo dia ny fitadiavana JNDI (Java Naming and Directory Interface), izay Java API hifandraisana amin'ny serivisy lahatahiry.
Amin'ny fampiasana an'io fomba io, ny ID mpampiasa anatiny dia azo sarihina amin'ny anaran'ny tena mpampiasa. Ity fanontaniana ity dia mampiseho ny vulnerability RCE vao hita, satria ny iray amin'ireo karazana data omen'ny mpizara LDAP dia URI manondro kilasy Java, izay ampidirina ao amin'ny fitadidiana ary tanterahin'ny ohatra Log4j.
Noho ny fahalemena ao amin'ny tranomboky Log4j fanamarinana dia azo atao ny manindrona mpizara LDAP tsy misy dikany avy amina loharano tsy itokisana. Satria mihevitra ny mpamorona fa ny angon-drakitra alefa any amin'ny logs dia horaisina ho lahatsoratra tsotra, tsy misy fanamafisana fanampiny atao ary miditra amin'ny logs ny fampidiran'ny mpampiasa mampidi-doza.
Ny fanambarana log dia mety ho toy izao:
Ny mpampiasa ratsy dia mampiditra fikarohana JNDI manondro mpizara LDAP ratsy fanahy amin'ny mari-pamantarana URL. Ny fitadiavana JNDI dia ho toy izao manaraka izao:
Ny tranomboky Log4j dia miresaka amin'ity mpizara LDAP ity ao amin'ny attacker.com mba hahazoana fampahalalana momba ny lahatahiry, anisan'izany ny sanda ho an'ny Java Factory sy Java Codebase.
Ireo soatoavina roa ireo dia ahitana ny kilasy Java an'ny mpanafika, izay ampidirina ao anaty fitadidiana ary tanterahan'ny ohatra Log4j, mamita ny famonoana kaody.
Iza no tandindomin-doza?
Ny vulnerability Log4j dia midadasika be, miantraika amin'ny rindranasa fandraharahana, fitaovana tafiditra ary ny subsystems. Ny fampiharana voakasika dia ahitana ny Cisco Webex, Minecraft, ary FileZilla FTP.
Na izany aza, tsy lisitra iray manontolo izany. Ny lesoka dia misy fiantraikany amin'ny iraka chopper Ingenuity Mars 2020, izay mampiasa Apache Log4j ho an'ny firaketana hetsika.
Nanangona a lisitry ny rafitra vulnerable. Zava-dehibe ny manamarika fa tsy mitsahatra ny fanavaozana ireo lisitra ireo, ka raha misy programa na rafitra iray tsy aseho dia aza mihevitra fa tsy misy fiantraikany izany.
Ny fiparitahan'ity vulnerability ity dia tena azo inoana, ary na dia manokana aza stack tech dia tsy mampihatra Java, ny tompon'andraikitra amin'ny fiarovana dia tokony hanantena ny rafitra mpamatsy tsikera, mpamatsy SaaS, mpamatsy fampiantranoana rahona, ary mpanome tolotra tranonkala hanao izany.
Ahoana no hanamarinana ny vulnerability Log4j?
Ny dingana voalohany dia ny hamaritana raha efa nisy ny fanafihana. Azonao atao izany amin'ny alàlan'ny fanamarinana ny diarin'ny rafitra ho an'ny sombin-karama RCE.
Raha toa ny fikarohana ny teny toy ny "jndi", "ldap", na "$::" dia misy diary, ny mpikaroka momba ny fiarovana dia tokony handinika bebe kokoa raha toa ka fanafihana ara-dalàna izany na fanondro-tanana fotsiny.
Fanafihana maro tany anaty ala no hita fa tsy nitondra entana manimba. Na izany aza, notarihin'ny manam-pahaizana momba ny fiarovana izy ireo mba hamaritana hoe firy ny fampiharana no mora voan'ity fanafihana ity.
Ny dingana manaraka dia ny fampiasana ny tranomboky Log4j hamantarana ny tetikasa rehetra. Raha ny dikan-teny eo anelanelan'ny 2.0-beta9 sy 2.14.1 no ampiasaina dia mety ho mora voan'ny aretina ilay tetikasa.
Noho ny fahasarotana amin'ny famaritana hoe aiza no misy an'io vulnerable io, dia tsara kokoa ny mihevitra fa ny tetikasa dia mora tohina ary ny fanavaozana ny tranomboky no fomba tsara indrindra hanesorana ny loza ateraky ny famonoana kaody.
Tsy vulnerable ny tetikasa raha latsaky ny 2.0-beta 9 ny dikan-teny ampiasaina, na dia tokony havaozina aza ny tranomboky Log4j satria efa antitra ny dikan-teny ao amin'ny 1.x ary tsy mahazo fanavaozana intsony.
Raha misy tetik'asa mora hita, dia ilaina ny manamarina raha misy fampahalalana voarakitra ao amin'ny Log4j misy fampahalalana azon'ny mpampiasa ovaina. URL, mari-pamantarana fangatahana, lohapejy, ary cookies no ohatra amin'ity angona ity. Raha toa ka voarakitra an-tsoratra ny iray amin'ireo dia tandindonin-doza ny tetikasa.
Ity fahalalana ity dia afaka manampy anao amin'ny fandinihana lalindalina kokoa ny diarin'ny rafitra ary hamaritana raha efa voatafika ny fampiharana tranonkalanao.
Misy fitaovana an-tserasera maimaim-poana izay afaka mamantatra raha toa ka marefo ny fampiharana tranonkala. Ny iray amin'ireo programa ireo dia Log4Shell mpihaza. Izy io dia open-source ary azo alaina amin'ny GitHub.
Raha misy faritra marefo amin'ny kaody hita ao amin'ny rindranasa an-tserasera, ny enta-mavesatra omen'ilay fitaovana nambara dia azo ampiasaina hanindrona azy amin'ny rindranasa an-tranonkala. Ny fitaovana fitiliana dia hanambara ny fifandraisana misy eo amin'ny fampiharana tranonkalanao sy ny mpizara LDAP-ny raha toa ka voarara ny vulnerable.
Vahaolana hamahana ny vulnerability Log4j
Ny dingana voalohany dia ny fanavaozana ny Log4j, izay azonao atao amin'ny fampiasana ny mpitantana fonosana mahazatra na amin'ny alàlan'ny fampidinana azy mivantana avy amin'ity. pejy.
Azo atao ihany koa ny mampihena ny fahafahan'ny vulnerability amin'ny alàlan'ny fametrahana ny fari-piainan'ny tontolo iainana FORMAT MSG NO LOOKUPS ho marina. Ity fanoherana ity anefa dia tsy azo ampiharina afa-tsy amin'ny dikan-teny Log4j lehibe kokoa na mitovy amin'ny 2.10.
Andeha isika handinika safidy hafa.
1. Fanamboarana ho an'ny Log4j version 2.17.0
Tena manoro hevitra mafy ny hampiasa Log4j version 2.15.0 mba hiarovana amin'ny Log4Shell, na izany aza, raha tsy azo atao izany dia misy vahaolana hafa.
Dikan-teny 2.7.0 ary taty aoriana amin'ny Log4j: Azo atao ny miaro amin'ny fanafihana rehetra amin'ny alàlan'ny fanovana ny endrik'ireo hetsika hosoratana amin'ny fampiasana ny isan-jato m nolookups syntax ho an'ny angona omen'ny mpampiasa. Ity fanavaozana ity dia mitaky fanitsiana ny rakitra fikirakirana Log4j mba hamoronana dikan-teny vaovao amin'ny programa. Vokatr'izany, alohan'ny hametrahana ity dikan-teny vaovao ity dia tsy maintsy averina ny dingana fanamarinana ara-teknika sy fiasa.
Log4j version 2.10.0 sy aoriana: Azo atao koa ny miaro amin'ny fanafihana rehetra amin'ny alàlan'ny fametrahana ny mari-pamantarana fanamafisana log4j2.formatMsgNoLookups ho marina, ohatra, rehefa manomboka ny milina virtoaly Java amin'ny safidy -Dlog4j2. formatMsgNoLookups = marina, Safidy iray hafa dia ny fanesorana ny kilasy JndiLookup amin'ny tohan-kevitra classpath, izay hanala ny veterin'ny fanafihana lehibe (ny mpikaroka dia tsy manilika ny mety hisian'ny vector fanafihana hafa).
Ny Amazon Web Services dia manome hotpatch izay "tokony hampiasaina amin'ny risikao manokana." Navoaka ny “teknika” hafa, toa an'i Logout4Shell, izay “mampiasa an'io fahalemena io amin'ny tenany”. Ny manam-pahaizana momba ny fiarovana dia manontany ny maha-ara-dalàna an'ity hetsika ity, izay misy ny "mijirika milina hanamboarana azy."
2. Voavaha ny olana ao amin'ny Log4j v2.17.0.
Ho an'ny dikan-teny mihoatra ny 2.10: Log4j2.formatMsgNoLookups dia tokony apetraka ho marina.
Ho an'ny dikan-teny 2.0 hatramin'ny 2.10.0: Ampandehano ity baiko manaraka ity hanesorana ny kilasy LDAP amin'ny Log4j.
Log4j2.formatMsgNoLookups dia tokony apetraka ho marina ao amin'ny firafitry ny rafitra.
Mitigation in JVM
Tsy safidy intsony ny fanalefahana amin'ny masontsivana JVM. Mbola mahomby ny fomba fanalefahana hafa. Hanavao ny Log4j version 2.17.0 raha azo atao. Misy torolàlana fifindra-monina azo alaina ho an'ny Log4j v1.
Raha tsy azo atao ny fanavaozana dia ataovy izay hahazoana antoka fa manana ny -Dlog4j2.formatMsgNoLookups = tena rafitra fananan'ny rafitra ny singa mpanjifa sy ny mpizara.
Mariho fa ny Log4j v1 dia tonga amin'ny fiafaran'ny androm-piainany (EOL) ary tsy hahazo famahana olana intsony. Ny vectors RCE hafa dia mora voan'ny Log4j v1. Noho izany, manainga anao izahay hanavao haingana ny Log4j 2.17.0.
3. Fepetra fanalefahana
Ny fitrandrahana amin'izao fotoana izao dia tsy afaka miasa na dia mety ho mora voan'ny Log4j aza ny sasany, toy ny hoe ny milina mpampiantrano dia mampiasa dikan-java-java-malaza Java avo kokoa noho ny 6u212, 7u202, 8u192, na 11.0.2.
Izany dia noho ny Java Naming and Directory Interface (JNDI) tsara kokoa amin'ny fiarovana ny fandefasana kilasy lavitra amin'ny dikan-teny ankehitriny, izay ilaina amin'ny fanafihana.
Ankoatra izany, miaraka amin'ny dikan-teny Log4j lehibe kokoa noho ny 2.10, dia azo ialana ny olana amin'ny fametrahana ny sandan'ny rafitra formatMsgNoLookups ho marina, manome ny tohan-kevitra JVM -Dlog4j2.formatMsgNoLookups = marina, na mamafa ny kilasy JndiLookup amin'ny classpath.
Mandritra izany fotoana izany, mandra-pandaminana ireo tranga marefo, dia azo atao ny miatrika ny vulnerable amin'ny alàlan'ny teknika etsy ambany:
- Ataovy marina ny log4j2.formatMsgNoLookups ho an'ny >=2.10.
- Ataovy marina ny safidy momba ny tontolo iainana LOG4J FORMAT MSG NO LOOKUPS ho an'ny>=2.10.
- Esory ny JndiLookup.class amin'ny classpath ho an'ny 2.0-beta9 ka hatramin'ny 2.10.0: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Ny fomba fanao tsara indrindra atolotra dia ny mametra ny fifamoivoizana mivoaka amin'ny Internet amin'ny seranana mety ihany.
Na dia alefa amin'ny HTTP aza ny ankamaroan'ny fanafihana eny an-kianja, dia mety hohararaotina amin'ny alàlan'ny protocola rehetra izay mampiditra angon-drakitra fampidirana mpampiasa mampiasa Log4j ny vulnerability.
Na izany aza, ny fanavaozana ny log4j 2.17.0 no vahaolana tsara indrindra satria misy olona afaka mahita fomba fanampiny amin'ny olana. Fanampin'izay, mpitory sy mpanamboatra maro no nanambara fanatsarana ny serivisiny na ny fampiharana.
4. Log4Shell vulnerability patch
Log4j dia hita eny rehetra eny, indrindra amin'izao fotoana izao no araraotina ny vulnerability. Raha fintinina, ny hany tokony hataonao dia ny mampiditra ireto tarehintsoratra manaraka ireto ao amin'ny diary nojeren'ny Log4j.
Ary izany dia hisintona sy hanatanteraka ny rakitra Java hita any amin'ny faran'ny URL. Mivantana toy ny mampientam-po.
Araka ny efa fantatrao dia zava-dehibe ny manavao ny log4j amin'ny version>= 2.17.0 mba hamerenana ity vulnerability Log4Shell ity (CVE-2021-44228).
Raha tsy azo atao izany:
Ho an'ny fampiharana mampiasa Log4j library versions 2.10.0 sy aoriana, dia azo atao ihany koa ny miaro amin'ny fanafihana rehetra amin'ny fametrahana ny mari-pamantarana fanamafisam-peo log4j2.formatMsgNoLookups ho marina, ohatra, rehefa manomboka ny milina virtoaly Java amin'ny -Dlog4j2.formatMsgNoLookups = true safidy.
Safidy iray hafa dia ny famafana ny kilasy JndiLookup amin'ny tohan-kevitra classpath, izay hanaisotra ny vector fanafihana voalohany (ny mpikaroka dia tsy manilika ny fisian'ny vector fanafihana hafa).
Fanamarihana
Ireo fikambanana izay misalasala na tsy te hanao fanitsiana amin'ny rafitra mora (na izay te-hametraka fiarovana fanampiny) dia tokony hieritreritra:
- Ataovy azo antoka fa mandeha amin'ny alalan'ny iSensor/waff/IPS. Izany dia afaka manakana ny fanafihana tsy hiditra amin'ny rafitra.
- Famerana ny habetsahan'ny fifamoivoizana mety ho tonga amin'ny rafitra mora tohina Raha toa ka tsy mila mifandray amin'ny Internet ny rafitra, ferana ny fidirana amin'ny IPS tena ilaina sy azo itokisana.
- Mampihena ny fifamoivoizana mivoaka omen'ny mpampiantrano. Satria ity fanafihana ity dia miasa amin'ny alàlan'ny fampifandraisana amin'ny mpizara rogue, tokony hosakanana amin'ny firewall ny adiresy IP sy seranan-tsambo tsy ilaina rehetra.
- Raha tsy ilaina intsony ny serivisy dia tokony ho kilemaina mandra-pahavitan'ny fanamboarana.
Famaranana
Ny lesoka Log4j dia nanafintohina ny vondrom-piarahamoninay ary nampahatsiahy anay rehetra ny fahatokianay amin'ny rindrambaiko open-source.
Log4j dia miavaka. Sady tsy rafitra miasa izy io, na navigateur, na logiciel. Fa kosa, io no antsoin'ny mpandrindra ho toy ny tranomboky, fonosana, na module code. Manatanteraka tanjona iray fotsiny izy io, izany hoe fitazonana firaketana ny zava-mitranga amin'ny mpizara.
Ny olona manoratra kaody dia aleony mifantoka amin'izay mampiavaka ny lozisialy. Tsy liana amin'ny fanavaozana ny kodiarana izy ireo. Vokatr'izany dia miantehitra amin'ny tranomboky kaody maro izy ireo, toy ny Log4j.
Ny maody Log4j dia avy amin'ny Apache, rindrambaiko mpizara tranonkala be mpampiasa indrindra. Izany no mahatonga azy ho hita amin'ny mpizara an-tapitrisany. Noho izany, mampitombo ny fandrahonana fiarovana.
Manantena aho fa hanampy anao hitandro ny fitaovanao ireo vahaolana etsy ambony ireo.
Araho hatrany amin'ny HashDork raha mila fampahalalana mahasoa bebe kokoa avy amin'ny tontolon'ny teknolojia.
Leave a Reply