Werrej[Aħbi][Uri]
Log4Shell, vulnerabbiltà tal-internet, dan l-aħħar affettwa miljuni ta’ magni. Log4j, biċċa software oskura iżda kważi kullimkien, tikkawżaha.
Log4j jintuża biex jirreġistra l-azzjonijiet kollha li jseħħu wara l-kwinti f'varjetà ta 'sistemi tal-kompjuter.
Hija bbażata fuq librerija tal-illoggjar open-source li tintuża minn negozji u anke organizzazzjonijiet tal-gvern fil-biċċa l-kbira tal-applikazzjonijiet.
Billi hija waħda mill-agħar toqob tas-sigurtà ċibernetika li qatt ġiet mikxufa, huwa kritiku li tipproteġi s-sistemi tiegħek minn din il-vulnerabbiltà. Imma kif?
Ejja nesploraw il-vulnerabbiltà ta' Log4j fid-dettall u s-soluzzjonijiet kollha possibbli ta' tiswija għaliha.
X'inhu Log4j?
Log4j huwa an open-source qafas tal-illoggjar li jippermetti lill-iżviluppaturi tas-softwer jirreġistraw data differenti fl-applikazzjonijiet tagħhom. Huwa komponent tal-proġett Apache Logging Services, li huwa mmexxi mill- Apache Software Foundation.
Mijiet ta’ websajts u apps jużaw Log4j biex iwettqu operazzjonijiet kritiċi bħall-illoggjar tad-dejta għad-debugging u użi oħra.
Meta ddaħħal jew tikklikkja fuq link online fqir u tikseb avviż ta 'żball 404, dan huwa eżempju frekwenti ta' Log4j fuq ix-xogħol. Is-server tal-web li jmexxi d-dominju tal-link tal-web li ppruvajt taċċessa jinfurmak li ma teżisti l-ebda paġna web bħal din. Jirreġistra wkoll l-avveniment f'Log4j għall-amministraturi tas-sistema tas-server.
Matul il-programmi tas-softwer, huma impjegati sinjali dijanjostiċi simili. Fil-logħba online Minecraft, pereżempju, is-server juża Log4j biex jirreġistra attività bħal RAM totali użata u istruzzjonijiet għall-utent mibgħuta fil-console.
Kif isseħħ il-vulnerabbiltà?
Lookups huma karatteristika ġdida introdotta f'Log4j 2.0, li tgħin biex tinkorpora informazzjoni addizzjonali fl-entrati tal-log. Waħda minn dawn it-tiftix hija l- lookup JNDI (Java Naming and Directory Interface), li hija Java API għall-komunikazzjoni ma' servizz tad-direttorju.
Bl-użu ta' dan l-approċċ, l-IDs tal-utenti interni jistgħu jiġu mmappjati mal-ismijiet tal-utenti attwali. Din il-mistoqsija tesponi l-vulnerabbiltà RCE li għadha kif ġiet skoperta, peress li wieħed mit-tipi ta’ dejta pprovduti mis-server LDAP huwa URI li jindika klassi Java, li mbagħad titgħabba fil-memorja u titħaddem mill-istanza Log4j.
Minħabba dgħjufija fil-validazzjoni tal-input tal-librerija Log4j, huwa possibbli li jiġi injettat server LDAP arbitrarju minn sors mhux affidabbli. Minħabba li l-iżviluppaturi jassumu li d-dejta mibgħuta lil zkuk se tiġi ttrattata bħala test sempliċi, ma ssir l-ebda validazzjoni ta 'input addizzjonali, u input perikoluż tal-utent jidħol fir-zkuk.
Dikjarazzjoni ta' log tista' tidher bħal din:
Utent malizzjuż issa jdaħħal tfittxija JNDI li tirreferi għal server LDAP diżonest f'parametru tal-URL. It-tfittxija tal-JNDI tkun kif ġej:
Il-librerija Log4j imbagħad titkellem ma' dan is-server LDAP fuq attacker.com biex tikseb informazzjoni tad-direttorju, inklużi valuri għall-Java Factory u Java Codebase.
Dawn iż-żewġ valuri jinkludu l-klassi Java tal-attakkant, li mbagħad titgħabba fil-memorja u eżegwita mill-istanza Log4j, u tlesti l-eżekuzzjoni tal-kodiċi.
Min hu f'riskju?
Il-vulnerabbiltà Log4j hija oerhört wiesgħa, li taffettwa l-applikazzjonijiet tan-negozju, l-apparati inkorporati, u s-sottosistemi tagħhom. L-applikazzjonijiet affettwati jinkludu Cisco Webex, Minecraft, u FileZilla FTP.
Madankollu, din bl-ebda mod mhi lista sħiħa. Id-difett saħansitra jaffettwa l-missjoni chopper Ingenuity Mars 2020, li tuża Apache Log4j għar-reġistrazzjoni tal-avvenimenti.
Il-komunità tas-sigurtà ġabret a lista ta' sistemi vulnerabbli. Huwa kruċjali li wieħed jinnota li dawn il-listi qed jaġġornaw kontinwament, għalhekk jekk ċertu programm jew sistema ma jidhirx, tassumix li mhux affettwat.
L-espożizzjoni għal din il-vulnerabbiltà hija pjuttost probabbli, u anki jekk speċifika munzell ta 'teknoloġija ma japplikax Java, l-eżekuttivi tas-sigurtà għandhom jistennew li jagħmlu dan is-sistemi kritiċi tal-fornituri, il-fornituri SaaS, il-fornituri tal-cloud hosting, u l-fornituri tas-server tal-web.
Kif tiċċekkja għall-vulnerabbiltà Log4j?
L-ewwel pass huwa li jiġi ddeterminat jekk diġà seħħx attakk. Tista' tagħmel dan billi tiċċekkja r-reġistri tas-sistema għal frammenti tat-tagħbija RCE.
Jekk tfittxija għal termini bħal "jndi", "ldap", jew "$::" tagħti xi logs, ir-riċerkaturi tas-sigurtà għandhom jesploraw aktar biex jaraw jekk kienx attakk leġittimu jew sempliċement teħid tal-marki tas-swaba'.
Ġew skoperti ħafna attakki fis-selvaġġ li ma wasslu l-ebda tagħbija li tagħmel ħsara. Madankollu, dawn twettqu minn esperti tas-sigurtà biex jiddeterminaw kemm apps kienu vulnerabbli għal dan l-attakk.
Il-pass li jmiss huwa li tuża l-librerija Log4j biex tidentifika l-proġetti kollha. Jekk jintużaw verżjonijiet bejn 2.0-beta9 u 2.14.1, il-proġett jista 'jkun suxxettibbli.
Minħabba d-diffikultà biex jiġi ddeterminat fejn teżisti din il-vulnerabbiltà, jista 'jkun preferibbli li wieħed jassumi li l-proġett huwa suxxettibbli u li l-aġġornament tal-librerija huwa l-aħjar kors ta' azzjoni biex jitneħħa l-periklu tal-eżekuzzjoni tal-kodiċi.
Il-proġett mhuwiex vulnerabbli jekk il-verżjoni użata hija inqas minn 2.0-beta 9, għalkemm il-librerija Log4j xorta għandha tiġi aġġornata minħabba li l-verżjonijiet fil-firxa 1.x huma antiki u m'għadhomx jiksbu aġġornamenti.
Jekk jiġix skopert proġett suxxettibbli, huwa rakkomandat li jiġi ċċekkjat biex tara jekk xi informazzjoni illoggjata bl-użu ta' Log4j fiha informazzjoni li l-utent jista' jibdel. L-URLs, il-parametri tat-talba, l-intestaturi u l-cookies huma eżempji ta’ din id-dejta. Jekk wieħed minn dawn ikun illoggjat, il-proġett ikun fil-periklu.
Dan l-għarfien jista 'jgħinek biex tidħol aktar fil-logs tas-sistema u tiddetermina jekk l-applikazzjoni tal-web tiegħek tkunx diġà ġiet attakkata.
Hemm għodod onlajn b'xejn li jistgħu jiskopru jekk applikazzjoni tal-web hijiex vulnerabbli. Wieħed minn dawn il-programmi huwa Log4Shell kaċċassa. Huwa open-source u disponibbli fuq GitHub.
Jekk tiġi skoperta żona vulnerabbli ta' kodiċi fl-applikazzjoni onlajn, it-tagħbija pprovduta mill-għodda żvelata tista' tintuża biex tinjettaha fl-applikazzjoni tal-web. L-għodda tal-ittestjar tiżvela l-konnessjonijiet li saru bejn l-applikazzjoni tal-web tiegħek u s-server LDAP tagħhom jekk il-vulnerabbiltà ġiet sfruttata.
Soluzzjonijiet biex jiffissaw il-vulnerabbiltà Log4j
L-ewwel pass huwa li taġġorna Log4j, li tista 'tagħmel billi tuża l-maniġers tal-pakketti normali jew billi tniżżlu direttament minn dan paġna.
Huwa wkoll possibbli li titnaqqas l-isfruttabbiltà tal-vulnerabbiltà billi tistabbilixxi l-varjabbli ambjentali FORMAT MSG NO LOOKUPS għal vera. Din il-kontromiżura, madankollu, hija applikabbli biss għal verżjonijiet Log4j akbar minn jew ugwali għal 2.10.
Issa ejja nikkunsidraw għażliet alternattivi.
1. Soluzzjonijiet għall-verżjoni Log4j 2.17.0
Huwa definittivament rakkomandat ħafna li tuża Log4j verżjoni 2.15.0 biex tipproteġi kontra Log4Shell, madankollu, jekk dan ma jkunx possibbli, soluzzjonijiet oħra huma disponibbli.
Verżjonijiet 2.7.0 u aktar tard ta' Log4j: Huwa fattibbli li tipproteġi kontra kwalunkwe attakk billi jinbidel il-format tal-avvenimenti li għandhom jiġu rreġistrati bl-użu tas-sintassi tal-perċentwali m nolookups għad-dejta pprovduta mill-utent. Dan l-aġġornament jeħtieġ l-editjar tal-fajl tal-konfigurazzjoni Log4j biex jiġġenera verżjoni ġdida tal-programm. B'riżultat ta' dan, qabel l-iskjerament ta' din il-verżjoni l-ġdida, l-istadji ta' validazzjoni teknika u funzjonali għandhom jiġu ripetuti.
Log4j verżjonijiet 2.10.0 u aktar tard: Huwa wkoll possibbli li tipproteġi kontra kwalunkwe attakk billi tissettja l-parametru tal-konfigurazzjoni log4j2.formatMsgNoLookups għal veru, pereżempju, meta tibda l-magna virtwali Java bl-għażla -Dlog4j2.” formatMsgNoLookups = true, Għażla oħra hija li titneħħa l-klassi JndiLookup mill-argument classpath, li se tneħħi l-vettur tal-attakk prinċipali (ir-riċerkaturi ma jeskludux il-possibbiltà ta 'vettur tal-attakk ieħor).
Amazon Web Services jipprovdi hotpatch li "għandu jiġi utilizzat għar-riskju tiegħek." “Tekniki” oħra, bħal Logout4Shell, li “tuża din il-vulnerabbiltà kontriha,” ġew ippubblikati. L-espert tas-sigurtà jistaqsi dwar il-legalità ta 'din il-mossa, li tinvolvi "hacking ta' magna biex tirranġaha."
2. Il-problema ġiet solvuta f'Log4j v2.17.0.
Għal verżjonijiet akbar minn 2.10: Log4j2.formatMsgNoLookups għandu jkun issettjat għal veru.
Għall-verżjonijiet 2.0 sa 2.10.0: Mexxi l-kmand li ġej biex tneħħi l-klassi LDAP minn Log4j.
Log4j2.formatMsgNoLookups għandu jkun issettjat għal veru fis-settings tas-sistema.
Mitigazzjoni fil-JVM
Il-mitigazzjoni bil-parametri JVM m'għadhiex għażla. Metodi oħra ta' mitigazzjoni jkomplu jkunu ta' suċċess. Aġġorna għal Log4j verżjoni 2.17.0 jekk possibbli. Hemm gwida tal-migrazzjoni disponibbli għal Log4j v1.
Jekk aġġornament ma jkunx possibbli, kun żgur li l-komponenti tan-naħa tal-klijent u tan-naħa tas-server għandhom is-sett ta' proprjetà tas-sistema -Dlog4j2.formatMsgNoLookups =.
Jekk jogħġbok innota li Log4j v1 laħaq it-tmiem tal-ħajja tiegħu (EOL) u mhux se jibqa' jirċievi bug fixes. Vetturi RCE oħra huma wkoll suxxettibbli għal Log4j v1. Għalhekk, inħeġġu li taġġorna għal Log4j 2.17.0 kemm jista 'jkun malajr.
3. Miżuri ta' mitigazzjoni
L-isfrutti kurrenti ma jistgħux jaħdmu anki jekk Log4j huwa suxxettibbli f'xi każijiet, bħal jekk il-magna ospitanti tkun qed taħdem verżjoni Java ogħla minn 6u212, 7u202, 8u192, jew 11.0.2.
Dan huwa dovut għal protezzjoni aħjar tat-tagħbija tal-klassi remota tal-Java Naming and Directory Interface (JNDI) fil-verżjonijiet attwali, li hija meħtieġa biex l-attakk jopera.
Barra minn hekk, bil-verżjonijiet Log4j akbar minn 2.10, il-kwistjoni tista 'tiġi evitata billi jiġi stabbilit il-valur tas-sistema formatMsgNoLookups għal veru, billi jipprovdi l-argument JVM -Dlog4j2.formatMsgNoLookups = true, jew titħassar il-klassi JndiLookup mill-classpath.
Sadanittant, sakemm jiġu ffissati l-istanzi vulnerabbli, il-vulnerabbiltà tista' tiġi indirizzata bl-użu tat-tekniki hawn taħt:
- Issettja l-proprjetà tas-sistema log4j2.formatMsgNoLookups għal vera għal >=2.10.
- Issettja l-għażla tal-ambjent LOG4J FORMAT MSG NO LOOKUPS għal vera għal >=2.10.
- Neħħi JndiLookup.class mill-classpath għal 2.0-beta9 sa 2.10.0: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
L-aħjar prattika waħda rakkomandata hija li jiġi limitat it-traffiku tal-ħruġ lejn l-internet għall-portijiet xierqa biss.
Għalkemm il-biċċa l-kbira tal-attakki fil-qasam jitwasslu permezz ta' HTTP, il-vulnerabbiltà tista' tiġi sfruttata permezz ta' kwalunkwe protokoll li jirreġistra d-dejta tal-input tal-utent permezz ta' Log4j.
Madankollu, l-aġġornament għal log4j 2.17.0 huwa l-aħjar rimedju għaliex xi ħadd jista 'jiskopri approċċ addizzjonali għall-kwistjoni. Barra minn hekk, ħafna pubblikaturi u manifatturi ħabbru titjib fis-servizzi jew l-apps tagħhom.
4. Garża tal-vulnerabbiltà Log4Shell
Log4j huwa omnipreżenti, speċjalment issa li l-vulnerabbiltà qed tiġi sfruttata. Fil-qosor, kull ma trid tagħmel hu li tinkludi l-karattri li ġejjin fir-zkuk spezzjonati minn Log4j.
U dan se tniżżel u tesegwixxi l-fajl Java li jinsab fl-aħħar tal-URL. Huwa sempliċi daqs kemm drammatiku.
Kif taf, huwa kritiku li taġġorna log4j għall-verżjoni >= 2.17.0 biex tirrimedja din il-vulnerabbiltà Log4Shell (CVE-2021-44228).
Jekk dan mhux possibbli:
Għal applikazzjonijiet li jużaw il-verżjonijiet tal-librerija Log4j 2.10.0 u aktar tard, huwa wkoll possibbli li tipproteġi kontra kwalunkwe attakk billi tistabbilixxi l-parametru tal-konfigurazzjoni log4j2.formatMsgNoLookups għal veru, pereżempju, waqt li tibda l-magna virtwali Java bil--Dlog4j2.formatMsgNoLookups = true għażla.
Għażla oħra hija li tħassar il-klassi JndiLookup mill-argument classpath, li se tneħħi l-vettur tal-attakk primarju (ir-riċerkaturi ma jeskludux l-eżistenza ta 'vettur tal-attakk ieħor).
Nota
Organizzazzjonijiet li joqogħdu lura jew li ma jridux jagħmlu aġġustamenti għal sistemi suxxettibbli (jew li huma iżda jixtiequ jinstallaw salvagwardji żejda) għandhom jaħsbu dwar:
- Kun żgur li t-traffiku kollu jiġi mgħoddi minn iSensor/WAF/IPS. Dan jista 'jżomm l-attakk milli jikseb aċċess għas-sistema.
- Limitazzjoni tal-ammont ta 'traffiku li jista' jilħaq is-sistema suxxettibbli Jekk is-sistema ma teħtieġx li tkun konnessa mal-internet, tillimita l-aċċess għal IPS u firxiet biss essenzjali u affidabbli.
- It-tnaqqis tat-traffiku ħerġin awtorizzat tal-host. Minħabba li dan l-attakk jopera billi jgħaqqad ma 'server diżonesti, l-indirizzi u l-portijiet tal-IP superfluwi kollha għandhom jiġu mblukkati fuq firewall.
- Jekk is-servizz m'għadux meħtieġ, għandu jiġi diżattivat sakemm tkun lesta soluzzjoni.
konklużjoni
Id-difetti Log4j ixxukkjaw lill-komunità tagħna u fakkruna lkoll kemm aħna niddependu fuq is-software open-source.
Log4j huwa uniku. La hija sistema operattiva, lanqas browser, u lanqas software. Pjuttost, huwa dak li l-programmaturi jirreferu għalihom bħala librerija, pakkett, jew modulu tal-kodiċi. Iservi biss għan wieħed, jiġifieri, iżżomm rekord ta 'dak li jiġri fuq server.
Nies li jiktbu kodiċi jippreferu jikkonċentraw fuq dak li jagħmel is-software tagħhom distintiv. Mhumiex interessati li jerġgħu jivvintaw ir-rota. Bħala riżultat, huma jiddependu fuq pletora ta 'libreriji ta' kodiċi eżistenti, bħal Log4j.
Il-modulu Log4j huwa derivat minn Apache, is-softwer tal-web server l-aktar użat b'mod estensiv. Huwa għalhekk li jista 'jiġi skopert fuq miljuni ta' servers. Għalhekk, jiżdied it-theddid għas-sigurtà.
Nittama li s-soluzzjonijiet ta 'hawn fuq jgħinuk iżżomm it-tagħmir tiegħek sigur.
Ibqa' sintonizzat fuq HashDork għal aktar informazzjoni utli mid-dinja tat-teknoloġija.
Ħalli Irrispondi