Tafole ea likateng[Pata][Bontša]
Mafelong a Pulungoana 2021, re ile ra sibolla tšokelo e kholo ho cybersecurity. Ketso ena e ka 'na ea ama limilione tsa litsamaiso tsa lik'homphieutha lefatšeng ka bophara.
Ena ke tataiso mabapi le ho ba kotsing ha Log4j le hore na bofokoli ba moralo bo hlokomolohuoang bo siile ho feta 90% ea lits'ebeletso tsa lefats'e tsa likhomphutha li bulehile ho hlaseloa.
Apache Log4j ke sesebelisoa se bulehileng sa ho rema lifate se thehiloeng ho Java se ntlafalitsoeng ke Apache Software Foundation. E ngotsoe qalong ke Ceki Gülcü ka 2001, joale ke karolo ea Apache Logging Services, morero oa Apache Software Foundation.
Likhamphani ho pota lefatše li sebelisa laeborari ea Log4j ho thusa ho rema lits'ebetso tsa tsona. Ebile, laeborari ea Java e fumaneha hohle, o ka e fumana lits'ebetsong tse tsoang ho Amazon, Microsoft, Google, le tse ling.
Ho hlahella ha laebrari ho bolela hore phoso leha e le efe e ka bang teng molaong ona e ka siea limilione tsa lik'homphieutha li bulehile hore li ka utsuoa. Ka la 24 Pulungoana 2021, a polokeho ea leru mofuputsi ea sebeletsang Alibaba o ile a fumana phoso e mpe haholo.
Kotsi ea Log4j, e tsejoang hape e le Log4Shell, e bile teng e sa hlokomeloe ho tloha ka 2013. Ho ba kotsing ho ile ha lumella batšoantšisi ba lonya ho tsamaisa khoutu lits'ebetsong tse amehang tse sebelisang Log4j. E phatlalalitsoe phatlalatsa ka la 9 Tšitoe 2021
Litsebi tsa indasteri li bitsa Log4Shell flaw the bofokodi bo boholo mohopolong wa moraorao.
Bekeng e latelang ho phatlalatsoa ha tlokotsi, lihlopha tsa ts'ireletso ea marang-rang li ile tsa fumana litlhaselo tse limilione. Bafuputsi ba bang ba bile ba bona litlhaselo tse fetang lekholo ka motsotso.
Hona e sebetsa?
Ho utloisisa hore na hobaneng Log4Shell e le kotsi hakana, re hloka ho utloisisa hore na e khona ho etsa eng.
Bofokoli ba Log4Shell bo lumella ho etsoa ha khoutu ka mokhoa o sa reroang, ho bolelang hore mohlaseli a ka tsamaisa taelo kapa khoutu efe kapa efe mochining o shebiloeng.
E finyella see joang?
Taba ea pele, re hloka ho utloisisa hore na JNDI ke eng.
Java Naming and Directory Interface (JNDI) ke ts'ebeletso ea Java e lumellang mananeo a Java ho sibolla le ho sheba lintlha le lisebelisoa ka lebitso. Litšebeletso tsena tsa li-directory li bohlokoa hobane li fana ka sete e hlophisitsoeng ea lirekoto bakeng sa bahlahisi hore ba ka li supa habonolo ha ba theha lits'ebetso.
JNDI e ka sebelisa liprothokholo tse fapaneng ho fihlella bukana e itseng. E 'ngoe ea liprothokholo tsena ke Lightweight Directory Access Protocol, kapa LDAP.
Ha u rema khoele, Lenane la4j e etsa li-substitutes tsa likhoele ha li kopana le lipolelo tsa foromo ${prefix:name}
.
Ka mohlala, Text: ${java:version}
e kanna ea bolokoa joalo ka Mongolo: mofuta oa Java 1.8.0_65. Mefuta ena ea li-substitutes e tloaelehile.
Re ka boela ra ba le lipolelo tse kang Text: ${jndi:ldap://example.com/file}
e sebelisang mokhoa oa JNDI ho kenya ntho ea Java ho tsoa ho URL ka protocol ea LDAP.
Sena se kenya ka nepo data e tsoang ho URL eo mochining. Motho leha e le ofe ea ka bang senokoane a ka amohela khoutu e mpe ho URL ea sechaba ebe o emela mechini e sebelisang Log4j ho e ngola.
Kaha litaba tsa melaetsa ea log li na le data e laoloang ke basebelisi, linokoane li ka kenya litšupiso tsa bona tsa JNDI tse supang ho li-server tsa LDAP tseo ba li laolang. Li-server tsena tsa LDAP li ka tlala lintho tse mpe tsa Java tseo JNDI e ka li sebelisang ka ho ba kotsing.
Se mpefatsang taba ena ke hore ha ho na taba hore na ts'ebeliso ke lehlakore la seva kapa ke sesebelisoa sa lehlakore la bareki.
Hafeela ho ntse ho e-na le mokhoa oa hore motho ea remang lifate a bale khoutu e kotsi ea mohlaseli, kopo e ntse e bulehile ho sebelisoa.
Ke mang ea amehang?
Ho ba kotsing ho ama litsamaiso le lits'ebeletso tsohle tse sebelisang APache Log4j, ka liphetolelo tsa 2.0 ho fihla le ho kenyelletsa 2.14.1.
Litsebi tse 'maloa tsa ts'ireletso li eletsa hore ho ba kotsing ho ka ama lits'ebetso tse ngata tse sebelisang Java.
Phoso e ile ea fumanoa ka lekhetlo la pele papaling ea video ea Minecraft ea Microsoft. Microsoft e khothalelitse basebelisi ba eona ho ntlafatsa software ea bona ea Minecraft ea Java ho thibela kotsi efe kapa efe.
Jen Easterly, Motsamaisi oa Cybersecurity and Infrastructure Security Agency (CISA) o re barekisi ba na le boikarabelo bo boholo ho thibela basebelisi ho tsoa ho libapali tse lonya tse sebelisang ts'oaetso ena.
"Barekisi le bona ba lokela ho buisana le bareki ba bona ho netefatsa hore basebelisi ba bona ba tseba hore sehlahisoa sa bona se na le tlokotsi ena mme se lokela ho etelletsa lintlafatso tsa software pele."
Ho tlalehoa hore litlhaselo li se li qalile. Symantec, k'hamphani e fanang ka software ea cybersecurity, e hlokometse palo e fapaneng ea likopo tsa tlhaselo.
Mehlala ke ena ea mefuta ea litlhaselo eo bafuputsi ba e hlokometseng:
- botnets
Botnets ke marang-rang a lik'homphieutha tse tlas'a taolo ea sehlopha se le seng se hlaselang. Ba thusa ho etsa litlhaselo tsa DDoS, ho utsoa data, le scams tse ling. Bafuputsi ba hlokometse botnet ea Muhstik ka har'a likhetla tse jarollotsoeng ho tsoa ho Log4j.
- XMRig Miner Trojan
XMRig ke moepo o bulehileng oa chelete ea crypto o sebelisang li-CPU ho rafa lets'oao la Monero. Li-Cybercriminals li ka kenya XMRig lisebelisoa tsa batho hore ba sebelise matla a bona a ho sebetsa ntle le tsebo ea bona.
- Khonsari Ransomware
Thekollo e bolela mofuta oa malware o etselitsoeng ho encrypt lifaele khomphuteng. Bahlaseli ba ka batla tefo e le phapanyetsano bakeng sa ho khutlisa lifaele tse patiloeng. Bafuputsi ba sibollotse thekollo ea Khonsari tlhaselong ea Log4Shell. Ba shebisisa li-server tsa Windows mme ba sebelisa moralo oa .NET.
Ho etsahala'ng ka mor'a moo?
Litsebi li bolela esale pele hore ho ka nka likhoeli kapa mohlomong lilemo ho lokisa ka botlalo moferefere o tlisoang ke ho ba kotsing ea Log4J.
Ts'ebetso ena e kenyelletsa ho nchafatsa sistimi e ngoe le e ngoe e amehileng ka mofuta o patiloeng. Le ha lits'ebetso tsena kaofela li koaletsoe, ho ntse ho e-na le ts'okelo e tlang ea hore ho ka etsahala hore ebe linokoane li se li kentse fensetereng eo li-server li neng li buletsoe ho hlaseloa.
Ba bangata ba tharollo le phokotso e teng ho thibela lits'ebetso hore li se ke tsa sebelisoa ke bothata bona. Mofuta o mocha oa Log4j 2.15.0-rc1 o fetotse litlhophiso tse fapaneng ho fokotsa tlokotsi ena.
Likarolo tsohle tse sebelisang JNDI li tla holofatsoa ka ho sa feleng, 'me li-homonopo tse hole le tsona li thibetsoe. Ho thibela tšobotsi ea ho sheba ho setupong sa hau sa Log4j ho tla thusa ho fokotsa kotsi ea ts'ebeliso e ka bang teng.
Ka ntle ho Log4j, ho ntse ho hlokahala moralo o pharaletseng oa ho thibela ho sebelisoa ha mehloli e bulehileng.
Pejana ka Mots'eanong, White House e ile ea lokolla tsamaiso e kholo e neng e ikemiseditse ho ntlafatsa tshireletso ya inthanete ya naha. E ne e kenyelletsa tokisetso ea software bill of materials (SBOM) eo ha e le hantle e neng e le tokomane e hlophisitsoeng e neng e e-na le lethathamo la ntho e 'ngoe le e 'ngoe e hlokahalang ho aha kopo.
Sena se kenyelletsa likarolo tse kang tsa Mohloli o bulehileng liphutheloana, litšepiso, le li-API tse sebelisetsoang nts'etsopele. Leha mohopolo oa li-SBOM o thusa ho pepesehela pepeneneng, na o tla thusa moreki?
Ho ntlafatsa litšepe ho ka ba boima haholo. Likhamphani li ka khetha ho lefa likotlo leha e le life ho e-na le ho ipeha kotsing ea ho senya nako e eketsehileng ho fumana liphutheloana tse ling. Mohlomong li-SBOM tsena li tla ba molemo ha feela li bophara e lekanyelitsoe ho feta.
fihlela qeto e
Taba ea Log4j hase feela bothata ba tekheniki bakeng sa mekhatlo.
Baetapele ba khoebo ba tlameha ho hlokomela likotsi tse ka bang teng ha li-server, lihlahisoa, kapa litšebeletso tsa bona li itšetleha ka khoutu eo bona ka bobona ba sa e bolokeng.
Ho itšetleha ka lisebelisoa tse bulehileng le tsa motho oa boraro kamehla ho tla le kotsi e itseng. Likhamphani li lokela ho nahana ka ho sebelisa maano a ho fokotsa kotsi pele litšokelo tse ncha li hlaha.
Boholo ba marang-rang bo itšetlehile ka software e bulehileng e hlokometsoeng ke baithaopi ba likete lefatšeng ka bophara.
Haeba re batla ho boloka marang-rang e le sebaka se sireletsehileng, mebuso le mekhatlo e lokela ho tsetela ho tšehetsa boiteko ba mehloli e bulehileng le mekhatlo ea cybersecurity joalo ka CISA.
Leave a Reply