Содржина[Крие][Прикажи]
Кон крајот на ноември 2021 година, откривме голема закана за сајбер безбедноста. Оваа експлоатација потенцијално би влијаела на милиони компјутерски системи ширум светот.
Ова е водич за ранливоста на Log4j и како занемарениот дизајн пропуст остави над 90% од светските компјутерски услуги отворени за напади.
Apache Log4j е алатка за евиденција базирана на Java со отворен код, развиена од Фондацијата за софтвер Apache. Првично напишана од Чеки Ѓулџу во 2001 година, сега е дел од Apache Logging Services, проект на Фондацијата за софтвер Apache.
Компаниите ширум светот ја користат библиотеката Log4j за да овозможат најавување на нивните апликации. Всушност, библиотеката Java е толку сеприсутна што можете да ја најдете во апликациите од Amazon, Microsoft, Google и многу повеќе.
Истакнувањето на библиотеката значи дека секој потенцијален недостаток во кодот може да остави милиони компјутери отворени за хакирање. На 24 ноември 2021 година, А безбедност на облак истражувач кој работел за Alibaba открил ужасна маана.
Ранливоста Log4j, исто така позната како Log4Shell, постоеше незабележано од 2013 година. Ранливоста им овозможи на злонамерните актери да извршуваат код на засегнатите системи што работат со Log4j. Тоа беше јавно обелоденето на 9 декември 2021 година
Експертите од индустријата го нарекуваат недостатокот на Log4Shell на најголема ранливост во поновата меморија.
Во неделата по објавувањето на ранливоста, тимовите за сајбер безбедност открија милиони напади. Некои истражувачи дури забележале стапка од над сто напади во минута.
Како работи?
За да разбереме зошто Log4Shell е толку опасен, треба да разбереме за што е способен.
Ранливоста Log4Shell овозможува произволно извршување на код, што во основа значи дека напаѓачот може да изврши каква било команда или код на целната машина.
Како го постигнува ова?
Прво, треба да разбереме што е JNDI.
Java Naming and Directory Interface (JNDI) е Java услуга која им овозможува на Java програмите да откриваат и бараат податоци и ресурси преку име. Овие услуги на директориуми се важни затоа што обезбедуваат организиран сет на записи за програмерите лесно да ги повикуваат при креирање апликации.
JNDI може да користи различни протоколи за пристап до одреден директориум. Еден од овие протоколи е Лесниот протокол за пристап до директориумот или LDAP.
Кога најавувате низа, log4j врши замена на жици кога ќе наидат на изрази на формата ${prefix:name}
.
На пример, Text: ${java:version}
може да се евидентира како Текст: Java верзија 1.8.0_65. Ваквите замени се вообичаени.
Можеме да имаме и изрази како на пр Text: ${jndi:ldap://example.com/file}
кој го користи системот JNDI за вчитување на Java објект од URL преку протоколот LDAP.
Ова ефикасно ги вчитува податоците што доаѓаат од тој URL во машината. Секој потенцијален хакер може да хостира злонамерен код на јавна URL-адреса и да чека машините што користат Log4j да го логираат.
Бидејќи содржината на пораките од дневникот содржи податоци контролирани од корисникот, хакерите можат да вметнат свои JNDI референци што укажуваат на LDAP серверите што ги контролираат. Овие LDAP сервери може да бидат полни со малициозни Java објекти кои JNDI може да ги изврши преку ранливоста.
Она што го прави ова полошо е тоа што не е важно дали апликацијата е апликација од страна на серверот или клиентска апликација.
Сè додека постои начин логерот да го прочита злонамерниот код на напаѓачот, апликацијата сè уште е отворена за експлоатации.
Кој е засегнат?
Ранливоста влијае на сите системи и услуги кои користат APache Log4j, со верзии 2.0 до и вклучувајќи 2.14.1.
Неколку безбедносни експерти советуваат дека ранливоста може да влијае на голем број апликации што користат Java.
Пропустот првпат беше откриен во видео играта Minecraft во сопственост на Microsoft. Мајкрософт ги повика своите корисници да го надградат софтверот за Minecraft едиција Java за да спречат било каков ризик.
Џен Истерли, директорка на Агенцијата за кибер-безбедност и инфраструктура (CISA) вели дека продавачите имаат голема одговорност за да се спречат крајните корисници од злонамерните актери кои ја искористуваат оваа ранливост.
„Продавачите исто така треба да комуницираат со своите клиенти за да обезбедат крајните корисници да знаат дека нивниот производ ја содржи оваа ранливост и дека треба да им дадат приоритет на ажурирањата на софтверот“.
Нападите наводно веќе започнале. Symantec, компанија која обезбедува софтвер за сајбер-безбедност, забележа различен број на барања за напади.
Еве неколку примери на типови напади што истражувачите ги откриле:
- botnets
Ботнетите се мрежа на компјутери кои се под контрола на една напаѓачка страна. Тие помагаат да се извршат DDoS напади, да се украдат податоци и други измами. Истражувачите го набљудуваа ботнетот Muhstik во скрипти на школка преземени од Log4j експлоат.
- Тројанец XMRig Miner
XMRig е рудар за криптовалути со отворен код кој користи процесори за копирање на токенот Monero. Сајбер-криминалците можат да инсталираат XMRig на уредите на луѓето за да можат да ја користат нивната процесорска моќ без нивно знаење.
- Khonsari Ransomware
Ransomware се однесува на форма на малициозен софтвер дизајниран да шифрирајте датотеки на компјутер. Напаѓачите потоа можат да бараат плаќање во замена за враќање на пристапот до шифрираните датотеки. Истражувачите го открија откупниот софтвер Khonsari во нападите на Log4Shell. Тие ги таргетираат Windows серверите и ја користат .NET рамката.
Што се случува следно?
Експертите предвидуваат дека може да бидат потребни месеци или можеби дури и години за целосно да се поправи хаосот предизвикан од ранливоста на Log4J.
Овој процес вклучува ажурирање на секој засегнат систем со закрпена верзија. Дури и ако сите овие системи се закрпени, сè уште постои закана од можни задни врати што хакерите можеби веќе ги додале во прозорецот дека серверите биле отворени за напад.
Многу решенија и ублажувања постојат за да се спречат апликациите да бидат експлоатирани од оваа грешка. Новата Log4j верзија 2.15.0-rc1 промени различни поставки за да ја ублажи оваа ранливост.
Сите функции што користат JNDI ќе бидат стандардно оневозможени, а далечинското пребарување е исто така ограничено. Оневозможувањето на функцијата за пребарување на поставувањето Log4j ќе помогне да се намали ризикот од можни експлоатирања.
Надвор од Log4j, сè уште постои потреба од поширок план за спречување на експлоатирањата со отворен код.
Претходно во мај, Белата куќа објави ан извршен ред која имаше за цел да ја подобри националната сајбер безбедност. Вклучуваше одредба за софтверска сметка за материјали (SBOM) што во суштина беше формален документ кој содржеше листа на секоја ставка потребна за да се изгради апликацијата.
Ова вклучува делови како што се со отворен код пакети, зависности и API кои се користат за развој. Иако идејата за SBOM е корисна за транспарентност, дали навистина ќе му помогне на потрошувачот?
Надградувањето на зависностите може да биде преголема мака. Компаниите можат само да изберат да платат какви било казни наместо да ризикуваат да губат дополнително време за наоѓање алтернативни пакети. Можеби овие SBOM ќе бидат корисни само ако нивните опсегот е ограничен дополнително.
Заклучок
Проблемот Log4j е повеќе од само технички проблем за организациите.
Бизнис лидерите мора да бидат свесни за потенцијалните ризици што може да се појават кога нивните сервери, производи или услуги се потпираат на код што тие самите не го одржуваат.
Потпирањето на апликации со отворен код и трети лица секогаш доаѓа со одреден ризик. Компаниите треба да размислат за развој на стратегии за ублажување на ризикот пред да излезат на виделина новите закани.
Голем дел од интернетот се потпира на софтвер со отворен код кој го одржуваат илјадници волонтери ширум светот.
Ако сакаме да ја одржиме мрежата безбедно место, владите и корпорациите треба да инвестираат во финансирање напори со отворен код и агенции за сајбер безбедност, како што се ЦИСА.
Оставете Одговор