Orodha ya Yaliyomo[Ficha][Onyesha]
Mwishoni mwa Novemba 2021, tuligundua tishio kubwa kwa usalama wa mtandao. Unyonyaji huu unaweza kuathiri mamilioni ya mifumo ya kompyuta ulimwenguni kote.
Huu ni mwongozo wa kuathiriwa kwa Log4j na jinsi dosari ya muundo iliyopuuzwa iliacha zaidi ya 90% ya huduma za kompyuta duniani zishambuliwe.
Apache Log4j ni programu huria ya ukataji miti inayotegemea Java iliyotengenezwa na Apache Software Foundation. Iliyoandikwa awali na Ceki Gülcü mwaka wa 2001, sasa ni sehemu ya Huduma za Kukata Magogo za Apache, mradi wa Apache Software Foundation.
Makampuni kote ulimwenguni hutumia maktaba ya Log4j kuwezesha kuingia kwenye programu zao. Kwa kweli, maktaba ya Java inapatikana kila mahali, unaweza kuipata katika programu kutoka Amazon, Microsoft, Google, na zaidi.
Umaarufu wa maktaba unamaanisha kuwa dosari yoyote inayoweza kutokea katika msimbo inaweza kuacha mamilioni ya kompyuta wazi kwa udukuzi. Mnamo Novemba 24, 2021, a usalama wa wingu mtafiti anayefanya kazi na Alibaba aligundua dosari mbaya.
Athari ya Log4j, pia inajulikana kama Log4Shell, ilikuwepo bila kutambuliwa tangu 2013. Athari hii iliruhusu watendaji hasidi kutekeleza msimbo kwenye mifumo iliyoathiriwa inayoendesha Log4j. Ilifunuliwa kwa umma mnamo Desemba 9, 2021
Wataalamu wa sekta huita dosari ya Log4Shell the hatari kubwa zaidi katika kumbukumbu ya hivi karibuni.
Wiki iliyofuata kuchapishwa kwa athari hiyo, timu za usalama wa mtandao ziligundua mamilioni ya mashambulizi. Watafiti wengine hata waliona kiwango cha mashambulizi zaidi ya mia moja kwa dakika.
Jinsi gani kazi?
Ili kuelewa ni kwa nini Log4Shell ni hatari sana, tunahitaji kuelewa ni nini inaweza kufanya.
Athari ya Log4Shell inaruhusu utekelezaji wa msimbo kiholela, ambayo ina maana kimsingi kwamba mvamizi anaweza kutekeleza amri au msimbo wowote kwenye mashine lengwa.
Je, inatimizaje hili?
Kwanza, tunahitaji kuelewa JNDI ni nini.
Kiolesura cha Kutaja na Saraka ya Java (JNDI) ni huduma ya Java inayoruhusu programu za Java kugundua na kutafuta data na rasilimali kupitia jina. Huduma hizi za saraka ni muhimu kwa sababu hutoa seti iliyopangwa ya rekodi kwa wasanidi programu kurejelea kwa urahisi wakati wa kuunda programu.
JNDI inaweza kutumia itifaki mbalimbali kufikia saraka fulani. Mojawapo ya itifaki hizi ni Itifaki ya Ufikiaji wa Saraka Nyepesi, au LDAP.
Wakati wa kukata kamba, Mgogo4j hufanya ubadilishaji wa kamba wakati wanakutana na maneno ya fomu ${prefix:name}
.
Kwa mfano, Text: ${java:version}
inaweza kurekodiwa kama Nakala: toleo la Java 1.8.0_65. Aina hizi za uingizwaji ni za kawaida.
Tunaweza pia kuwa na misemo kama vile Text: ${jndi:ldap://example.com/file}
ambayo hutumia mfumo wa JNDI kupakia kitu cha Java kutoka kwa URL kupitia itifaki ya LDAP.
Hii inapakia kwa ufanisi data inayotoka kwenye URL hiyo hadi kwenye mashine. Mdukuzi yeyote anaweza kupangisha msimbo hasidi kwenye URL ya umma na kungoja mashine zinazotumia Log4j ili kuziweka.
Kwa kuwa yaliyomo kwenye jumbe za kumbukumbu yana data inayodhibitiwa na mtumiaji, wavamizi wanaweza kuingiza marejeleo yao ya JNDI ambayo yanaelekeza kwenye seva za LDAP ambazo wanadhibiti. Seva hizi za LDAP zinaweza kujaa vipengee hasidi vya Java ambavyo JNDI inaweza kutekeleza kupitia athari.
Kinachofanya hii kuwa mbaya zaidi ni kwamba haijalishi ikiwa programu ni ya upande wa seva au programu ya upande wa mteja.
Alimradi kuna njia ya mkataji miti kusoma nambari hasidi ya mshambuliaji, programu bado iko wazi kwa ushujaa.
Ni nani aliyeathirika?
Athari hii huathiri mifumo na huduma zote zinazotumia APache Log4j, yenye matoleo ya 2.0 hadi na ikijumuisha 2.14.1.
Wataalamu kadhaa wa usalama wanashauri kwamba athari inaweza kuathiri programu kadhaa zinazotumia Java.
Kasoro hiyo iligunduliwa kwa mara ya kwanza katika mchezo wa video wa Minecraft unaomilikiwa na Microsoft. Microsoft imewataka watumiaji wake kuboresha toleo lao la Java la Minecraft ili kuzuia hatari yoyote.
Jen Easterly, Mkurugenzi wa Wakala wa Usalama wa Mtandao na Miundombinu (CISA) anasema kuwa wachuuzi wana jukumu kubwa ili kuzuia watumiaji wa hatima dhidi ya watendaji hasidi wanaotumia athari hii.
"Wachuuzi wanapaswa pia kuwasiliana na wateja wao ili kuhakikisha watumiaji wa mwisho wanajua kuwa bidhaa zao zina hatari hii na wanapaswa kutanguliza masasisho ya programu."
Mashambulizi hayo yameripotiwa kuwa tayari yameanza. Symantec, kampuni inayotoa programu ya usalama wa mtandao, imeona idadi tofauti ya maombi ya mashambulizi.
Hii ni baadhi ya mifano ya aina ya mashambulizi ambayo watafiti wamegundua:
- botnets
Botnets ni mtandao wa kompyuta ambao uko chini ya udhibiti wa chama kimoja kinachoshambulia. Wanasaidia kufanya mashambulizi ya DDoS, kuiba data na ulaghai mwingine. Watafiti waliona botnet ya Muhstik katika hati za ganda zilizopakuliwa kutoka kwa unyonyaji wa Log4j.
- XMRig Miner Trojan
XMRig ni mchimbaji wa chanzo huria wa sarafu-fiche ambaye hutumia CPU kuchimba tokeni ya Monero. Wahalifu wa mtandao wanaweza kusakinisha XMRig kwenye vifaa vya watu ili waweze kutumia nguvu zao za kuchakata bila wao kujua.
- Khonsari Ransomware
Ransomware inarejelea aina ya programu hasidi iliyoundwa encrypt files kwenye kompyuta. Wavamizi wanaweza kudai malipo badala ya kurudisha ufikiaji wa faili zilizosimbwa. Watafiti waligundua ransomware ya Khonsari katika mashambulizi ya Log4Shell. Wanalenga seva za Windows na kutumia mfumo wa NET.
Kile kinachotokea ijayo?
Wataalamu wanatabiri kuwa huenda ikachukua miezi au hata miaka kusuluhisha kikamilifu machafuko yanayoletwa na athari ya Log4J.
Mchakato huu unahusisha kusasisha kila mfumo ulioathiriwa na toleo lililonakiliwa. Hata kama mifumo hii yote imebanwa, bado kuna tishio linalokuja la uwezekano wa milango ya nyuma ambayo wavamizi wanaweza kuwa tayari wameongeza kwenye dirisha ambalo seva zilifunguliwa kwa ajili ya kushambuliwa.
Wengi ufumbuzi na kupunguza kuwepo ili kuzuia programu kutumiwa na mdudu huyu. Toleo jipya la Log4j 2.15.0-rc1 lilibadilisha mipangilio mbalimbali ili kupunguza uwezekano huu.
Vipengele vyote vinavyotumia JNDI vitazimwa kwa chaguo-msingi na utafutaji wa mbali pia umewekewa vikwazo. Kuzima kipengele cha kutafuta kwenye usanidi wako wa Log4j kutasaidia kupunguza hatari ya ushujaa unaowezekana.
Nje ya Log4j, bado kuna hitaji la mpango mpana wa kuzuia unyonyaji wa chanzo-wazi.
Mapema mwezi Mei, Ikulu ya Marekani ilitoa hati utaratibu wa utendaji ambayo ililenga kuboresha usalama wa mtandao wa kitaifa. Ilijumuisha kifungu cha muswada wa vifaa vya programu (SBOM) ambayo kimsingi ilikuwa hati rasmi ambayo ilikuwa na orodha ya kila kitu kinachohitajika kuunda programu.
Hii inajumuisha sehemu kama vile wazi chanzo vifurushi, tegemezi, na API zinazotumika kwa usanidi. Ingawa wazo la SOM ni muhimu kwa uwazi, je, litasaidia watumiaji kweli?
Kuboresha utegemezi kunaweza kuwa shida sana. Makampuni yanaweza kuchagua tu kulipa faini yoyote badala ya kuhatarisha kupoteza muda wa ziada kutafuta vifurushi mbadala. Labda SOM hizi zitakuwa muhimu tu ikiwa zao wigo ni mdogo zaidi.
Hitimisho
Suala la Log4j ni zaidi ya tatizo la kiufundi kwa mashirika.
Viongozi wa biashara lazima wafahamu hatari zinazoweza kutokea wakati seva, bidhaa au huduma zao zinategemea kanuni ambazo wao wenyewe hawazidumii.
Kutegemea programu huria na programu za watu wengine daima huja na kiasi fulani cha hatari. Kampuni zinapaswa kuzingatia kutayarisha mikakati ya kupunguza hatari kabla ya vitisho vipya kudhihirika.
Sehemu kubwa ya wavuti inategemea programu huria inayodumishwa na maelfu ya watu wanaojitolea duniani kote.
Ikiwa tunataka kuweka wavuti mahali salama, serikali na mashirika yanapaswa kuwekeza katika kufadhili juhudi za chanzo huria na mashirika ya usalama wa mtandao kama vile CISA.
Acha Reply