M'ndandanda wazopezekamo[Bisani][Show]
Log4Shell, chiwopsezo cha intaneti, posachedwa chakhudza mamiliyoni a makina. Log4j, pulogalamu yosadziwika koma yopezeka paliponse, imayambitsa.
Log4j imagwiritsidwa ntchito kulemba zonse zomwe zimachitika kuseri kwa makina osiyanasiyana apakompyuta.
Zimatengera laibulale yodula mitengo yotseguka yomwe imagwiritsidwa ntchito ndi mabizinesi ngakhalenso mabungwe aboma pamapulogalamu ambiri.
Pokhala imodzi mwamabowo oyipitsitsa achitetezo a cyber omwe adavumbulutsidwa, ndikofunikira kuteteza makina anu ku chiwopsezo ichi. Koma bwanji?
Tiyeni tifufuze kusatetezeka kwa Log4j mwatsatanetsatane ndi zonse zomwe tingathe kukonza.
Kodi Log4j ndi chiyani?
Log4j ndi gwero lotseguka ndondomeko yodula mitengo yomwe imathandiza opanga mapulogalamu kuti alembe deta zosiyanasiyana mkati mwa mapulogalamu awo. Ndi gawo la polojekiti ya Apache Logging Services, yomwe imayendetsedwa ndi a Apache Software Foundation.
Mazana a mawebusayiti ndi mapulogalamu amagwiritsa ntchito Log4j kuchita zinthu zovuta monga kudula mitengo kuti athetse zolakwika ndi ntchito zina.
Mukalowetsa kapena kudina ulalo wolakwika wapaintaneti ndikupeza chidziwitso cholakwika cha 404, ichi ndi chitsanzo chanthawi zonse cha Log4j pantchito. Seva yapaintaneti yomwe imayendera ulalo womwe mwayesa kupeza imakudziwitsani kuti palibe tsamba loterolo. Imalowetsanso chochitikacho mu Log4j kwa oyang'anira makina a seva.
M'mapulogalamu onse apulogalamu, zizindikiro zofanana zowunikira zimagwiritsidwa ntchito. M'masewera apaintaneti Minecraft, mwachitsanzo, seva imagwiritsa ntchito Log4j kuti ilembe zochitika monga RAM yonse yogwiritsidwa ntchito ndi malangizo a ogwiritsa ntchito omwe amatumizidwa ku console.
Kodi kusatetezeka kumachitika bwanji?
Lookups ndi chinthu chatsopano chomwe chinayambitsidwa mu Log4j 2.0, chomwe chimathandiza kuphatikizira zina zowonjezera muzolemba. Chimodzi mwazoyang'ana izi ndikuyang'ana kwa JNDI (Java Naming ndi Directory Interface), yomwe ndi Java API yolumikizirana ndi ndandanda.
Pogwiritsa ntchito njirayi, ma ID amkati amatha kujambulidwa ku mayina enieni a ogwiritsa ntchito. Funsoli likuwonetsa chiwopsezo cha RCE chomwe changopezeka kumene, popeza imodzi mwamitundu ya data yomwe imaperekedwa ndi seva ya LDAP ndi URI yolozera ku gulu la Java, lomwe kenako limalowetsedwa m'mtima ndikuyendetsedwa ndi Log4j.
Chifukwa cha kufooka pakutsimikizira kolowera kwa laibulale ya Log4j, ndizotheka kubaya seva ya LDAP yokhazikika kuchokera kugwero losadalirika. Chifukwa Madivelopa amaganiza kuti zomwe zimatumizidwa ku zipika zizisungidwa ngati mawu osavuta, palibe kutsimikizira kowonjezera komwe kumachitika, ndipo kulowetsa kowopsa kwa ogwiritsa ntchito kumalowa m'zipika.
Mawu a log angawoneke motere:
Wogwiritsa ntchito wanjinga tsopano ayika kuyang'ana kwa JNDI kutanthauza seva yoyipa ya LDAP mu parameter ya URL. Kufufuza kwa JNDI kungakhale motere:
Laibulale ya Log4j imalankhula ndi seva iyi ya LDAP pa attacker.com kuti mupeze zambiri zamakalata, kuphatikiza zomwe zili mu Java Factory ndi Java Codebase.
Mfundo ziwirizi zikuphatikiza gulu la Java la owukira, lomwe limakwezedwa kukumbukira ndikuchitidwa ndi chitsanzo cha Log4j, ndikumaliza kutsata ma code.
Ndani ali pachiwopsezo?
Chiwopsezo cha Log4j ndi chotakata modabwitsa, chokhudza mabizinesi, zida zophatikizika, ndi ma subsystems awo. Mapulogalamu okhudzidwa akuphatikiza Cisco Webex, Minecraft, ndi FileZilla FTP.
Komabe, uwu si mndandanda wonse. Cholakwikacho chimakhudzanso ntchito ya Ingenuity Mars 2020 chopper, yomwe imagwiritsa ntchito Apache Log4j kujambula zochitika.
Gulu lachitetezo lapanga a mndandanda wa machitidwe osatetezeka. Ndikofunikira kudziwa kuti mindandanda iyi ikusinthidwa mosalekeza, chifukwa chake ngati pulogalamu kapena dongosolo lina silinawonetsedwe, musaganize kuti silikhudzidwa.
Kuwonekera pachiopsezo ichi ndi chotheka, ndipo ngakhale china chake chatekinoloje sichigwiritsa ntchito Java, oyang'anira chitetezo ayenera kuyembekezera machitidwe ovuta othandizira, SaaS suppliers, cloud hosting providers, ndi opereka ma seva kuti atero.
Momwe mungayang'anire kusatetezeka kwa Log4j?
Choyamba ndi kudziwa ngati kumenyedwa kwachitika kale. Mutha kutero poyang'ana zipika zamakina a zidutswa za RCE zolipira.
Ngati kusaka kwa mawu ngati "jndi", "ldap", kapena "$::" kutulutsa zipika zilizonse, ofufuza zachitetezo ayenera kufufuzanso kuti awone ngati kunali kuukira kovomerezeka kapena kungosindikiza zala chabe.
Ziwawa zambiri zakutchire zidapezeka kuti sizinapereke ndalama zovulaza. Komabe, adachitidwa ndi akatswiri achitetezo kuti adziwe kuchuluka kwa mapulogalamu omwe ali pachiwopsezo cha izi.
Chotsatira ndicho kugwiritsa ntchito laibulale ya Log4j kuti muzindikire ma projekiti onse. Ngati matembenuzidwe apakati pa 2.0-beta9 ndi 2.14.1 agwiritsidwa ntchito, polojekitiyo ikhoza kukhala pachiwopsezo.
Poganizira zovuta kudziwa komwe kuli pachiwopsezochi, zingakhale bwino kuganiza kuti polojekitiyo ingathe kuchitika komanso kuti kukonzanso laibulale ndiyo njira yabwino kwambiri yochotsera kuopsa kwa code.
Pulojekitiyi siili pachiwopsezo ngati mawonekedwe ogwiritsidwa ntchito ndi ochepera 2.0-beta 9, ngakhale laibulale ya Log4j iyenera kukonzedwabe chifukwa mitundu ya 1.x ndi yakale ndipo sapezanso zosintha.
Kaya pulojekiti yomwe ingatheke ipezeka, ndikulangizidwa kuti iwunikidwe kuti muwone ngati chidziwitso chilichonse chomwe chalowetsedwa pogwiritsa ntchito Log4j chili ndi zomwe wogwiritsa ntchito angasinthe. Ma URL, zofunsira, mitu, ndi makeke ndi zitsanzo za datayi. Ngati imodzi mwa izi yalembedwa, ntchitoyi ili pachiwopsezo.
Kudziwa izi kungakuthandizeni kuti mufufuze mozama muzolemba zamakina ndikuzindikira ngati pulogalamu yanu yapaintaneti yawukiridwa kale.
Pali zida zaulere zapaintaneti zomwe zimatha kuzindikira ngati pulogalamu yapaintaneti ili pachiwopsezo. Imodzi mwamapulogalamuwa ndi Wosaka wa Log4Shell. Ndi yotseguka-gwero ndipo ikupezeka pa GitHub.
Ngati malo omwe ali pachiwopsezo mu pulogalamu yapaintaneti apezeka, malipiro omwe aperekedwa ndi chida chomwe chawululidwa angagwiritsidwe ntchito kuyiyika mu pulogalamu yapaintaneti. Chida choyesera chikhoza kuwulula malumikizidwe opangidwa pakati pa pulogalamu yanu yapaintaneti ndi seva yawo ya LDAP ngati kusatetezeka kudagwiritsidwa ntchito.
Njira zothetsera kusatetezeka kwa Log4j
Chinthu choyamba ndikusintha Log4j, zomwe mungachite pogwiritsa ntchito mamenejala wamba kapena kuzitsitsa kuchokera pa izi. tsamba.
Ndizothekanso kuchepetsa kusatetezeka kwachiwopsezo pokhazikitsa kusintha kwa chilengedwe FORMAT MSG NO LOOKUPS kukhala zoona. Izi, komabe, zimagwira ntchito pamatembenuzidwe a Log4j akulu kuposa kapena ofanana ndi 2.10.
Tsopano tiyeni tikambirane njira zina.
1. Njira zopangira Log4j mtundu 2.17.0
Ndikulangizidwa kwambiri kugwiritsa ntchito Log4j version 2.15.0 kuti muteteze ku Log4Shell, komabe, ngati sizingatheke, njira zina zilipo.
Mitundu 2.7.0 ndi pambuyo pake ya Log4j: Ndizotheka kuteteza ku chiwonongeko chilichonse posintha mawonekedwe a zochitika kuti alowe pogwiritsa ntchito mawu akuti percent m nolookups paza data yomwe wogwiritsa ntchitoyo wapereka. Kusinthaku kukufunika kusintha fayilo ya Log4j kuti mupange pulogalamu yatsopano. Chotsatira chake, musanatumize mawonekedwe atsopanowa, magawo ovomerezeka aukadaulo ndi ogwira ntchito ayenera kubwerezedwa.
Mitundu ya Log4j 2.10.0 ndi mtsogolo: N'zothekanso kuteteza ku chiwonongeko chilichonse mwa kuika log4j2.formatMsgNoLookups configuration parameter kuti ikhale yowona, mwachitsanzo, poyambitsa Java virtual machine ndi -Dlog4j2 njira. formatMsgNoLookups = zoona, Njira ina ndikuchotsa kalasi ya JndiLookup kuchokera pamtsutso wa classpath, zomwe zidzachotsa chowombera chachikulu (ochita kafukufuku samatsutsa kuthekera kwa vector ina yowukira).
Amazon Web Services imapereka hotpatch yomwe "iyenera kugwiritsidwa ntchito mwakufuna kwanu." "Njira" zina, monga Logout4Shell, yomwe "imagwiritsa ntchito kusatetezeka kumeneku," yasindikizidwa. Katswiri wachitetezo amakayikira kuti kusunthaku ndi kovomerezeka, komwe kumaphatikizapo "kubera makina kuti akonze."
2. Vuto lathetsedwa mu Log4j v2.17.0.
Kwa mitundu yayikulu kuposa 2.10: Log4j2.formatMsgNoLookups ikuyenera kukhala yowona.
Kwa mitundu 2.0 mpaka 2.10.0: Thamangani lamulo ili kuti muchotse kalasi ya LDAP ku Log4j.
Log4j2.formatMsgNoLookups iyenera kukhazikitsidwa kuti ikhale yowona pazokonda zamakina.
Kuchepetsa mu JVM
Kuchepetsa ndi magawo a JVM sikulinso mwayi. Njira zina zochepetsera zikupitiriza kukhala zopambana. Sinthani ku mtundu wa Log4j 2.17.0 ngati nkotheka. Pali kalozera wosamukira ku Log4j v1.
Ngati kusinthidwa sikutheka, onetsetsani kuti mbali ya kasitomala ndi seva -Dlog4j2.formatMsgNoLookups = ndondomeko yeniyeni ya katundu.
Chonde dziwani kuti Log4j v1 yafika kumapeto kwa moyo wake (EOL) ndipo sidzalandiranso kukonza zolakwika. Ma vector ena a RCE nawonso ali pachiwopsezo cha Log4j v1. Chifukwa chake, tikukulimbikitsani kuti mukweze Log4j 2.17.0 posachedwa.
3. Njira zochepetsera
Zomwe zikuchitika pano sizingagwire ntchito ngakhale Log4j ingakhale pachiwopsezo nthawi zina, monga ngati makina ogwiritsira ntchito akugwiritsa ntchito mtundu wa Java wapamwamba kuposa 6u212, 7u202, 8u192, kapena 11.0.2.
Izi ndichifukwa chachitetezo chabwinoko cha Java Naming ndi Directory Interface (JNDI) m'mawonekedwe apano, zomwe ndizofunikira kuti chiwonongeko chigwire ntchito.
Komanso, ndi matembenuzidwe a Log4j okulirapo kuposa 2.10, vutoli litha kupewedwa pokhazikitsa mtengo wamtundu waMsgNoLookups kukhala wowona, kupereka mkangano wa JVM -Dlog4j2.formatMsgNoLookups = wowona, kapena kufufuta kalasi ya JndiLookup kuchokera mkalasi.
Pakadali pano, mpaka zovutazo zitakhazikitsidwa, chiwopsezocho chingathe kuthetsedwa pogwiritsa ntchito njira zotsatirazi:
- Khazikitsani dongosolo log4j2.formatMsgNoLookups kukhala zoona >=2.10.
- Khazikitsani njira ya chilengedwe LOG4J FORMAT MSG NO LOOKUPS kuti ikhale yowona>=2.10.
- Chotsani JndiLookup.class panjira ya 2.0-beta9 mpaka 2.10.0: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Njira imodzi yabwino yolimbikitsira ndikuchepetsa kuchuluka kwa magalimoto pa intaneti kumadoko oyenerera okha.
Ngakhale ziwopsezo zambiri m'munda zimaperekedwa pa HTTP, chiwopsezocho chikhoza kugwiritsidwa ntchito kudzera pa protocol iliyonse yomwe imasunga deta ya ogwiritsa ntchito pogwiritsa ntchito Log4j.
Komabe, kusinthira ku log4j 2.17.0 ndiye njira yabwino kwambiri chifukwa wina atha kupeza njira yowonjezera pankhaniyi. Kuphatikiza apo, osindikiza ambiri ndi opanga alengeza zakusintha kwa ntchito zawo kapena mapulogalamu awo.
4. Chiwopsezo cha Log4Shell
Log4j ilipo ponseponse, makamaka tsopano popeza kusatetezeka kukugwiritsidwa ntchito. Kuti mufotokoze mwachidule, zomwe muyenera kuchita ndikuphatikiza zilembo zotsatirazi muzolemba zomwe zawunikiridwa ndi Log4j.
Ndipo izi zidzatsitsa ndikukhazikitsa fayilo ya Java yomwe ili kumapeto kwa URL. Ndizowongoka monga momwe zilili zochititsa chidwi.
Monga mukudziwira, ndikofunikira kukweza log4j kuti isinthe>= 2.17.0 kuti muthetse kusatetezeka kwa Log4Shell (CVE-2021-44228).
Ngati izi sizingatheke:
Kwa mapulogalamu omwe amagwiritsa ntchito laibulale ya Log4j 2.10.0 ndi pambuyo pake, ndizothekanso kuteteza ku chiwonongeko chilichonse mwa kukhazikitsa ndondomeko yosinthira log4j2.formatMsgNoLookups kuti ikhale yowona, mwachitsanzo, poyambitsa Java virtual machine ndi -Dlog4j2.formatMsgNoLookups = zoona mwina.
Njira ina ndikuchotsa kalasi ya JndiLookup pa mkangano wa classpath, womwe udzachotsa chowombera choyambirira (ofufuzawo samatsutsa kukhalapo kwa vector ina yowukira).
Zindikirani
Mabungwe omwe akukayikakayika kapena osafuna kusintha machitidwe omwe ali pachiwopsezo (kapena omwe akufuna kukhazikitsa zodzitetezera) ayenera kuganizira izi:
- Onetsetsani kuti magalimoto onse amayendetsedwa kudzera pa iSensor/Waf/IPS. Izi zitha kuletsa kuwopseza kuti asalowe mudongosolo.
- Kuchepetsa kuchuluka kwa magalimoto omwe atha kufikira dongosolo lomwe lingatengeke Ngati makinawo safunikira kulumikizidwa ndi intaneti, chepetsani mwayi wopezeka ku IPS ndi magawo ofunikira komanso odalirika.
- Kuchepetsa kuchuluka kwa anthu omwe ali ndi chilolezo chotuluka. Chifukwa kuwukiraku kumagwira ntchito polumikizana ndi seva yoyipa, ma adilesi onse opitilira muyeso a IP ndi madoko ayenera kutsekedwa pa firewall.
- Ngati ntchitoyo sikufunikanso, iyenera kuyimitsidwa mpaka kukonza kwakonzeka.
Kutsiliza
Zolakwika za Log4j zidadabwitsa anthu amdera lathu ndipo zidatikumbutsa tonse momwe timadalira pulogalamu yotsegula.
Log4j ndi yapadera. Si makina ogwiritsira ntchito, kapena msakatuli, kapena mapulogalamu. M'malo mwake, ndizomwe opanga mapulogalamu amatcha laibulale, phukusi, kapena gawo la code. Zimangogwira ntchito imodzi, ndiko kuti, kusunga mbiri ya zomwe zimachitika pa seva.
Anthu omwe amalemba ma code amakonda kuyang'ana kwambiri zomwe zimapangitsa mapulogalamu awo kukhala osiyana. Iwo alibe chidwi reinventing gudumu. Zotsatira zake, amadalira kuchuluka kwa malaibulale omwe alipo, monga Log4j.
Module ya Log4j imachokera ku Apache, pulogalamu yapaintaneti yomwe imagwiritsidwa ntchito kwambiri. Ichi ndichifukwa chake amatha kupezeka pa mamiliyoni a maseva. Chifukwa chake, kuwonjezera zowopseza zachitetezo.
Ndikukhulupirira kuti mayankho omwe ali pamwambawa akuthandizani kuti zida zanu zikhale zotetezeka.
Khalani tcheru ku HashDork kuti mudziwe zambiri zothandiza kuchokera kudziko laukadaulo.
Siyani Mumakonda