M'ndandanda wazopezekamo[Bisani][Show]
Chakumapeto kwa Novembala 2021, tidazindikira vuto lalikulu pachitetezo cha pa intaneti. Izi zitha kusokoneza makompyuta mamiliyoni ambiri padziko lonse lapansi.
Uwu ndi chiwongolero cha kusatetezeka kwa Log4j ndi momwe cholakwika chonyalanyazidwa chimasiyidwa pa 90% ya ntchito zamakompyuta padziko lonse lapansi kuti zichitike.
Apache Log4j ndi chida chotsegula mitengo cha Java chopangidwa ndi Apache Software Foundation. Yolembedwa ndi Ceki Gülcü mu 2001, tsopano ndi gawo la Apache Logging Services, pulojekiti ya Apache Software Foundation.
Makampani padziko lonse lapansi amagwiritsa ntchito laibulale ya Log4j kuti azitha kudula mitengo pamapulogalamu awo. M'malo mwake, laibulale ya Java ndiyopezeka paliponse, mutha kuyipeza mumapulogalamu ochokera ku Amazon, Microsoft, Google, ndi zina zambiri.
Kutchuka kwa laibulaleyi kumatanthauza kuti vuto lililonse lomwe lingakhalepo mu code likhoza kusiya makompyuta mamiliyoni ambiri kuti azibera. Pa Novembara 24, 2021, a chitetezo chamtambo wofufuza yemwe amagwira ntchito ku Alibaba adapeza cholakwika choyipa.
Zowopsa za Log4j, zomwe zimadziwikanso kuti Log4Shell, zidakhalapo mosadziwikiratu kuyambira 2013. Chiwopsezochi chidapangitsa kuti ochita zoyipa azitha kuyendetsa ma code pamakina okhudzidwa omwe akuyendetsa Log4j. Idawululidwa pagulu pa Disembala 9, 2021
Akatswiri amakampani amatcha kuti Log4Shell cholakwika ndi kusatetezeka kwakukulu mu kukumbukira kwaposachedwa.
M'sabata yotsatila kutulutsidwa kwa chiwopsezochi, magulu achitetezo pa intaneti adazindikira mamiliyoni akuwukira. Ofufuza ena anafika poona kuukira kopitirira zana pa mphindi imodzi.
Kodi ntchito?
Kuti timvetsetse chifukwa chake Log4Shell ndi yowopsa, tiyenera kumvetsetsa zomwe imatha.
Chiwopsezo cha Log4Shell chimalola kugwiritsa ntchito ma code mosasamala, zomwe zikutanthauza kuti wowukira amatha kuyendetsa lamulo lililonse kapena code pamakina omwe akufuna.
Kodi chimakwaniritsa bwanji izi?
Choyamba, tiyenera kumvetsetsa kuti JNDI ndi chiyani.
Java Naming and Directory Interface (JNDI) ndi ntchito ya Java yomwe imalola mapulogalamu a Java kupeza ndikuyang'ana deta ndi zothandizira kudzera pa dzina. Ntchito zamakanema izi ndizofunikira chifukwa zimapereka zolemba zolongosoka kuti Madivelopa azitha kuwona mosavuta popanga mapulogalamu.
JNDI imatha kugwiritsa ntchito ma protocol osiyanasiyana kuti ipeze chikwatu china. Chimodzi mwazinthuzi ndi Lightweight Directory Access Protocol, kapena LDAP.
Podula chingwe, chipi4j amalowetsamo zingwe akakumana ndi mawonekedwe a fomu ${prefix:name}
.
Mwachitsanzo, Text: ${java:version}
ikhoza kulembedwa ngati Text: Java version 1.8.0_65. Zosintha zamtunduwu ndizofala.
Tikhozanso kukhala ndi mawu ngati Text: ${jndi:ldap://example.com/file}
yomwe imagwiritsa ntchito dongosolo la JNDI kuyika chinthu cha Java kuchokera ku URL kudzera mu protocol ya LDAP.
Izi zimanyamula bwino zomwe zimachokera ku URL kupita kumakina. Wobera aliyense akhoza kukhala ndi nambala yoyipa pa ulalo wapagulu ndikudikirira makina ogwiritsa ntchito Log4j kuti alembe.
Popeza zomwe zili mu mauthenga a chipika zili ndi deta yoyendetsedwa ndi ogwiritsa ntchito, owononga akhoza kuyika zolemba zawo za JNDI zomwe zimaloza ku ma seva a LDAP omwe amawalamulira. Ma seva a LDAP awa amatha kukhala odzaza ndi zinthu zoyipa za Java zomwe JNDI ikhoza kuzichita kudzera pachiwopsezo.
Chomwe chikukulitsa izi ndikuti zilibe kanthu ngati pulogalamuyo ili mbali ya seva kapena kasitomala.
Malingana ngati pali njira yoti wodula mitengoyo awerenge nambala yoyipa ya wowukirayo, pulogalamuyo ikadali yotseguka kuti igwiritse ntchito.
Ndani akukhudzidwa?
Kusatetezeka kumakhudza machitidwe ndi ntchito zonse zomwe zimagwiritsa ntchito APache Log4j, ndi mitundu 2.0 mpaka kuphatikiza 2.14.1.
Akatswiri ambiri achitetezo amalangiza kuti kusatetezeka kungathe kukhudza mapulogalamu angapo ogwiritsira ntchito Java.
Cholakwikacho chidapezeka koyamba pamasewera apakanema a Minecraft omwe ali ndi Microsoft. Microsoft yalimbikitsa ogwiritsa ntchito awo kuti akweze pulogalamu yawo ya Java Minecraft kuti apewe ngozi iliyonse.
Jen Easterly, Mtsogoleri wa Cybersecurity and Infrastructure Security Agency (CISA) akuti mavenda ali ndi udindo waukulu kuletsa ogwiritsa ntchito kuti asakhale ndi ziwopsezo zotengera kusatetezeka kumeneku.
"Ogulitsa akuyeneranso kumalankhulana ndi makasitomala awo kuti awonetsetse kuti ogwiritsa ntchito akudziwa kuti malonda awo ali pachiwopsezo ndipo akuyenera kuika patsogolo zosintha zamapulogalamu."
Ziwawazi akuti zayamba kale. Symantec, kampani yomwe imapereka mapulogalamu a cybersecurity, yawona kuchuluka kwa zopempha zowukira.
Nazi zitsanzo za mitundu ya ziwopsezo zomwe ofufuza apeza:
- botnets
Mabotnet ndi makina apakompyuta omwe ali pansi pa gulu limodzi loukira. Amathandizira kuchita ziwonetsero za DDoS, kuba deta, ndi miseche ina. Ofufuza adawona botnet ya Muhstik muzolemba zachipolopolo zomwe zidatsitsidwa kuchokera pakugwiritsa ntchito kwa Log4j.
- XMRig Miner Trojan
XMRig ndi mgodi wa cryptocurrency wotsegula yemwe amagwiritsa ntchito ma CPU kukumba chizindikiro cha Monero. Zigawenga zapaintaneti zimatha kukhazikitsa XMRig pazida za anthu kuti athe kugwiritsa ntchito mphamvu zawo zopangira popanda kudziwa.
- Khonsari Ransomware
Ransomware imatanthawuza mtundu wa pulogalamu yaumbanda yopangidwira encrypt files pa kompyuta. Zigawenga zitha kufuna kulipira kuti zibweze mafayilo obisidwa. Ofufuza adapeza chiwombolo cha Khonsari pakuwukira kwa Log4Shell. Amayang'ana ma seva a Windows ndipo amagwiritsa ntchito NET framework.
Nchiyani chikuchitika kenako?
Akatswiri amalosera kuti zitha kutenga miyezi kapena zaka kuti akonze chipwirikiti chomwe chimabwera chifukwa cha kusatetezeka kwa Log4J.
Izi zimaphatikizapo kukonzanso dongosolo lililonse lomwe lakhudzidwa ndi mtundu wa zigamba. Ngakhale machitidwe onsewa atakhala ndi zigamba, pali chiwopsezo chomwe chikubwera chakumbuyo komwe angakhale akuwonjezapo kale pawindo lomwe ma seva anali otseguka kuti aukire.
ambiri zothetsera ndi kuchepetsa alipo kuti aletse mapulogalamu kuti asagwiritsidwe ntchito ndi cholakwika ichi. Mtundu watsopano wa Log4j 2.15.0-rc1 udasintha masinthidwe osiyanasiyana kuti achepetse chiopsezochi.
Zinthu zonse zogwiritsa ntchito JNDI zidzayimitsidwa mwachisawawa ndipo kuyang'ana kwakutali kwaletsedwanso. Kuletsa mawonekedwe akuyang'ana pakukhazikitsa kwanu kwa Log4j kudzakuthandizani kuchepetsa chiwopsezo cha zomwe zingachitike.
Kunja kwa Log4j, pakufunikabe dongosolo lokulirapo loletsa kuchitapo kanthu poyera.
Kumayambiriro kwa Meyi, White House idatulutsa akuluakulu zomwe cholinga chake chinali kukonza chitetezo chapadziko lonse lapansi. Inaphatikizanso dongosolo la pulogalamu yamapulogalamu (SBOM) yomwe kwenikweni inali chikalata chokhazikika chomwe chinali ndi mndandanda wazinthu zonse zofunika kupanga pulogalamuyo.
Izi zikuphatikizapo zigawo monga gwero lotseguka phukusi, zodalira, ndi ma API omwe amagwiritsidwa ntchito pa chitukuko. Ngakhale lingaliro la ma SBOM ndi othandiza powonekera, kodi lingathandize ogula?
Kupititsa patsogolo kudalira kungakhale kovuta kwambiri. Makampani amatha kusankha kulipira chindapusa chilichonse m'malo motaya nthawi yochulukirapo popeza ma phukusi ena. Mwina ma SOM awa adzakhala othandiza ngati awo chiwerengero ndi malire mopitirira.
Kutsiliza
Nkhani ya Log4j sivuto laukadaulo la mabungwe.
Atsogoleri amabizinesi ayenera kudziwa zoopsa zomwe zingachitike ngati ma seva awo, zinthu zawo, kapena ntchito zawo zidalira ma code omwe iwo sasunga.
Kudalira magwero otseguka komanso mapulogalamu a chipani chachitatu nthawi zonse kumabwera ndi chiopsezo china. Makampani akuyenera kuganizira za kukonza njira zochepetsera ngozi zisanachitike ziwopsezo zatsopano.
Mawebusayiti ambiri amadalira mapulogalamu otsegula omwe amasungidwa ndi anthu odzipereka ambiri padziko lonse lapansi.
Ngati tikufuna kuti intaneti ikhale malo otetezeka, maboma ndi mabungwe azipereka ndalama zothandizira ntchito zotseguka komanso mabungwe achitetezo pa intaneti monga CISA.
Siyani Mumakonda