Obsah[Skryť][Šou]
Koncom novembra 2021 sme odhalili veľkú hrozbu pre kybernetickú bezpečnosť. Toto zneužitie by potenciálne ovplyvnilo milióny počítačových systémov na celom svete.
Toto je príručka o zraniteľnosti Log4j a o tom, ako prehliadnutá chyba v dizajne spôsobila, že viac ako 90 % svetových počítačových služieb bolo otvorených útoku.
Apache Log4j je open source protokolovací nástroj založený na jazyku Java vyvinutý nadáciou Apache Software Foundation. Pôvodne napísal Ceki Gülcü v roku 2001, teraz je súčasťou Apache Logging Services, projektu Apache Software Foundation.
Spoločnosti na celom svete používajú knižnicu Log4j na umožnenie prihlasovania do svojich aplikácií. Knižnica Java je v skutočnosti taká všadeprítomná, že ju nájdete v aplikáciách od Amazonu, Microsoftu, Google a ďalších.
Význam knižnice znamená, že akákoľvek potenciálna chyba v kóde môže spôsobiť, že milióny počítačov budú otvorené hackerom. Dňa 24. novembra 2021 a cloudová bezpečnosť výskumník pracujúci pre Alibaba objavil hroznú chybu.
Zraniteľnosť Log4j, známa aj ako Log4Shell, existovala bez povšimnutia od roku 2013. Zraniteľnosť umožnila škodlivým aktérom spustiť kód na postihnutých systémoch so systémom Log4j. Verejne to bolo zverejnené 9. decembra 2021
Odborníci v tomto odvetví nazývajú chybu Log4Shell najväčšia zraniteľnosť v nedávnej pamäti.
V týždni po zverejnení zraniteľnosti tímy kybernetickej bezpečnosti odhalili milióny útokov. Niektorí vedci dokonca pozorovali rýchlosť viac ako sto útokov za minútu.
Ako to funguje?
Aby sme pochopili, prečo je Log4Shell taký nebezpečný, musíme pochopiť, čoho je schopný.
Zraniteľnosť Log4Shell umožňuje spustenie ľubovoľného kódu, čo v podstate znamená, že útočník môže na cieľovom počítači spustiť ľubovoľný príkaz alebo kód.
Ako to dosiahne?
Najprv musíme pochopiť, čo je JNDI.
Java Naming and Directory Interface (JNDI) je služba Java, ktorá umožňuje programom Java objavovať a vyhľadávať údaje a zdroje prostredníctvom názvu. Tieto adresárové služby sú dôležité, pretože poskytujú organizovaný súbor záznamov, na ktoré môžu vývojári ľahko odkazovať pri vytváraní aplikácií.
JNDI môže používať rôzne protokoly na prístup k určitému adresáru. Jedným z týchto protokolov je Lightweight Directory Access Protocol alebo LDAP.
Pri protokolovaní reťazca, log4j vykonáva substitúcie reťazcov, keď narazia na výrazy formulára ${prefix:name}
.
Napríklad, Text: ${java:version}
môže byť prihlásený ako text: Java verzia 1.8.0_65. Takéto substitúcie sú bežné.
Môžeme mať aj výrazy ako napr Text: ${jndi:ldap://example.com/file}
ktorý používa systém JNDI na načítanie objektu Java z adresy URL prostredníctvom protokolu LDAP.
Tým sa efektívne načítajú údaje pochádzajúce z tejto adresy URL do počítača. Každý potenciálny hacker môže hostiť škodlivý kód na verejnej adrese URL a čakať, kým ho zaznamenajú počítače používajúce Log4j.
Keďže obsah protokolových správ obsahuje údaje riadené používateľom, hackeri môžu vkladať svoje vlastné odkazy JNDI, ktoré poukazujú na servery LDAP, ktoré riadia. Tieto servery LDAP môžu byť plné škodlivých objektov Java, ktoré môže JNDI spustiť prostredníctvom tejto zraniteľnosti.
Čo je horšie, je, že nezáleží na tom, či ide o aplikáciu na strane servera alebo klienta.
Pokiaľ existuje spôsob, akým môže zapisovač čítať útočníkov škodlivý kód, aplikácia je stále otvorená zneužitiam.
Kto je postihnutý?
Zraniteľnosť ovplyvňuje všetky systémy a služby, ktoré používajú APache Log4j, s verziami 2.0 až 2.14.1 vrátane.
Viacerí bezpečnostní experti upozorňujú, že táto zraniteľnosť môže ovplyvniť množstvo aplikácií používajúcich Java.
Chyba bola prvýkrát objavená vo videohre Minecraft, ktorú vlastní Microsoft. Spoločnosť Microsoft vyzvala svojich používateľov, aby aktualizovali svoj softvér Minecraft z edície Java, aby sa predišlo akémukoľvek riziku.
Jen Easterly, riaditeľka Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), hovorí, že predajcovia majú veľkú zodpovednosť aby sa zabránilo koncovým používateľom, aby zlomyseľní aktéri využili túto zraniteľnosť.
„Dodávatelia by tiež mali komunikovať so svojimi zákazníkmi, aby sa ubezpečili, že koncoví používatelia vedia, že ich produkt obsahuje túto zraniteľnosť, a mali by uprednostňovať aktualizácie softvéru.“
Útoky sa už údajne začali. Spoločnosť Symantec, ktorá poskytuje softvér na kybernetickú bezpečnosť, zaznamenala rôzny počet žiadostí o útok.
Tu je niekoľko príkladov typov útokov, ktoré vedci zistili:
- botnety
Botnety sú sieťou počítačov, ktoré sú pod kontrolou jedinej útočiacej strany. Pomáhajú vykonávať DDoS útoky, kradnúť dáta a iné podvody. Výskumníci pozorovali botnet Muhstik v skriptoch shell stiahnutých z exploitu Log4j.
- Trojan XMRig Miner
XMRig je otvorený zdroj kryptomien, ktorý využíva CPU na ťažbu tokenu Monero. Kyberzločinci môžu nainštalovať XMRig do zariadení ľudí, aby mohli využívať svoj výpočtový výkon bez ich vedomia.
- Khonsari Ransomware
Ransomware označuje formu škodlivého softvéru, na ktorý je určený šifrovať súbory na počítači. Útočníci potom môžu požadovať platbu výmenou za poskytnutie prístupu späť k zašifrovaným súborom. Výskumníci objavili ransomvér Khonsari v útokoch Log4Shell. Zameriavajú sa na servery Windows a využívajú rámec .NET.
Čo sa stane ďalej?
Odborníci predpovedajú, že úplné odstránenie chaosu spôsobeného zraniteľnosťou Log4J môže trvať mesiace alebo možno aj roky.
Tento proces zahŕňa aktualizáciu každého ovplyvneného systému opravenou verziou. Aj keď sú všetky tieto systémy opravené, stále existuje hrozba možných zadných vrátok, ktoré už hackeri mohli pridať do okna, že servery boli otvorené pre útok.
Mnoho riešenia a zmiernenia existujú, aby zabránili zneužitiu aplikácií touto chybou. Nová verzia Log4j 2.15.0-rc1 zmenila rôzne nastavenia na zmiernenie tejto zraniteľnosti.
Všetky funkcie využívajúce JNDI budú v predvolenom nastavení vypnuté a vzdialené vyhľadávanie je tiež obmedzené. Vypnutie funkcie vyhľadávania v nastavení Log4j pomôže znížiť riziko možného zneužitia.
Mimo Log4j stále existuje potreba širšieho plánu na zabránenie zneužitiu open source.
Začiatkom mája Biely dom zverejnil dokument výkonný poriadok ktorého cieľom bolo zlepšiť národnú kybernetickú bezpečnosť. Zahŕňalo ustanovenie pre softvérový kusovník (SBOM), ktorý bol v podstate formálnym dokumentom, ktorý obsahoval zoznam všetkých položiek potrebných na zostavenie aplikácie.
To zahŕňa časti ako napr open source balíky, závislosti a API používané na vývoj. Hoci myšlienka SBOM je užitočná pre transparentnosť, skutočne pomôže spotrebiteľovi?
Aktualizácia závislostí môže byť príliš náročná. Spoločnosti sa môžu rozhodnúť zaplatiť akékoľvek pokuty, namiesto toho, aby riskovali plytvanie časom navyše hľadaním alternatívnych balíkov. Možno budú tieto SBOM užitočné iba vtedy, ak ich rozsah je ďalej obmedzené.
záver
Problém Log4j je pre organizácie viac než len technický problém.
Vedúci pracovníci si musia byť vedomí potenciálnych rizík, ktoré sa môžu vyskytnúť, keď ich servery, produkty alebo služby závisia od kódu, ktorý sami neudržiavajú.
Spoliehanie sa na open-source aplikácie a aplikácie tretích strán vždy prináša určité riziko. Spoločnosti by mali zvážiť vypracovanie stratégií na zmiernenie rizík skôr, ako vyjdú najavo nové hrozby.
Veľká časť webu sa spolieha na softvér s otvoreným zdrojovým kódom, ktorý spravujú tisíce dobrovoľníkov po celom svete.
Ak chceme udržať web bezpečným miestom, vlády a korporácie by mali investovať do financovania open source úsilia a agentúr kybernetickej bezpečnosti, ako napr. Cisa.
Nechaj odpoveď