Зміст[Сховати][Показати]
Наприкінці листопада 2021 року ми виявили серйозну загрозу кібербезпеці. Цей експлойт потенційно вплине на мільйони комп’ютерних систем у всьому світі.
Це посібник щодо вразливості Log4j і того, як пропущений недолік дизайну залишив понад 90% комп’ютерних сервісів у світі відкритими для атак.
Apache Log4j — утиліта ведення журналів на основі Java з відкритим вихідним кодом, розроблена Apache Software Foundation. Спочатку він був написаний Чекі Гюльджю у 2001 році, а тепер є частиною Apache Logging Services, проекту Apache Software Foundation.
Компанії по всьому світу використовують бібліотеку Log4j, щоб увімкнути вхід у свої програми. Насправді бібліотека Java настільки поширена, що її можна знайти в програмах від Amazon, Microsoft, Google тощо.
Відомість бібліотеки означає, що будь-який потенційний недолік у коді може зробити мільйони комп’ютерів відкритими для злому. 24 листопада 2021 року а Хмара безпеки Дослідник, який працює на Alibaba, виявив жахливий недолік.
Уразливість Log4j, також відома як Log4Shell, існувала непоміченою з 2013 року. Ця вразливість дозволяла зловмисникам запускати код на уражених системах, на яких запущено Log4j. Це було оприлюднено 9 грудня 2021 року
Галузеві експерти називають недолік Log4Shell найбільша вразливість за останній час.
За тиждень після публікації про вразливість команди з кібербезпеки виявили мільйони атак. Деякі дослідники навіть спостерігали частоту більше ста нападів на хвилину.
Як це працює?
Щоб зрозуміти, чому Log4Shell такий небезпечний, нам потрібно зрозуміти, на що він здатний.
Уразливість Log4Shell дозволяє виконувати довільне виконання коду, що в основному означає, що зловмисник може запустити будь-яку команду або код на цільовій машині.
Як це досягає?
Спочатку нам потрібно зрозуміти, що таке JNDI.
Java Naming and Directory Interface (JNDI) — це служба Java, яка дозволяє програмам Java виявляти та шукати дані та ресурси за допомогою імені. Ці служби каталогів важливі, оскільки вони забезпечують організований набір записів, на які розробники можуть легко звертатися під час створення програм.
JNDI може використовувати різні протоколи для доступу до певного каталогу. Одним з таких протоколів є Lightweight Directory Access Protocol, або LDAP.
Під час реєстрації рядка, log4j виконує заміни рядків, коли вони зустрічаються з виразами форми ${prefix:name}
.
Наприклад, Text: ${java:version}
може бути зареєстровано як Текст: версія Java 1.8.0_65. Такі заміни є звичайними.
Ми також можемо мати такі вирази, як Text: ${jndi:ldap://example.com/file}
який використовує систему JNDI для завантаження об’єкта Java з URL-адреси через протокол LDAP.
Це ефективно завантажує дані, що надходять з цієї URL-адреси, в машину. Будь-який потенційний хакер може розмістити шкідливий код на загальнодоступній URL-адресі та чекати, поки машини, які використовують Log4j, зареєструють його.
Оскільки вміст повідомлень журналу містить дані, контрольовані користувачем, хакери можуть вставляти власні посилання JNDI, які вказують на сервери LDAP, які вони контролюють. Ці сервери LDAP можуть бути переповнені шкідливими об’єктами Java, які JNDI може виконувати через уразливість.
Що погіршує це, так це те, що не має значення, чи є програма на стороні сервера чи на стороні клієнта.
Поки реєстратор може прочитати шкідливий код зловмисника, програма все ще відкрита для експлойтів.
Хто постраждав?
Уразливість стосується всіх систем і служб, які використовують APache Log4j з версіями від 2.0 до 2.14.1 включно.
Декілька експертів із безпеки повідомляють, що вразливість може вплинути на ряд програм, які використовують Java.
Вперше недолік було виявлено у відеогрі Minecraft, що належить Microsoft. Microsoft закликала своїх користувачів оновити програмне забезпечення Minecraft версії Java, щоб запобігти будь-якому ризику.
Джен Істерлі, директор Агентства кібербезпеки та безпеки інфраструктури (CISA), каже, що постачальники мають велика відповідальність щоб запобігти зловмисникам, які експлуатують цю вразливість.
«Продавці також повинні спілкуватися зі своїми клієнтами, щоб переконатися, що кінцеві користувачі знають, що їхній продукт містить цю вразливість, і повинні надавати пріоритет оновленням програмного забезпечення».
Повідомляється, що напади вже почалися. Symantec, компанія, що надає програмне забезпечення для кібербезпеки, спостерігала різну кількість запитів на атаки.
Ось кілька прикладів типів атак, які виявили дослідники:
- ботнети
Ботнети - це мережа комп'ютерів, які перебувають під контролем однієї атакуючої сторони. Вони допомагають здійснювати DDoS-атаки, красти дані та інші шахрайства. Дослідники спостерігали за ботнетом Muhstik у сценаріях оболонки, завантажених із експлойту Log4j.
- Троян XMRig Miner
XMRig — це майнер криптовалюти з відкритим вихідним кодом, який використовує процесори для майнінгу токена Monero. Кіберзлочинці можуть встановити XMRig на пристроях людей, щоб вони могли використовувати свою обчислювальну потужність без їхнього відома.
- Програмне забезпечення-вимагач Khonsari
Програми-вимагачі – це одна з форм шкідливих програм, призначених для шифрувати файли на комп'ютері. Потім зловмисники можуть вимагати оплати в обмін на повернення доступу до зашифрованих файлів. Дослідники виявили програму-вымогальник Khonsari в атаках Log4Shell. Вони націлені на сервери Windows і використовують платформу .NET.
Що відбувається далі?
Експерти прогнозують, що для повного усунення хаосу, спричиненого вразливістю Log4J, можуть знадобитися місяці або навіть роки.
Цей процес передбачає оновлення кожної ураженої системи за допомогою виправленої версії. Навіть якщо всі ці системи буде виправлено, все ще існує загроза можливих бэкдорів, які хакери, можливо, вже додали до вікна, в якому сервери були відкриті для атаки.
Багато рішення та пом'якшення існують, щоб запобігти використанню програм цією помилкою. Нова версія Log4j версії 2.15.0-rc1 змінила різні налаштування, щоб пом’якшити цю вразливість.
Усі функції, що використовують JNDI, будуть вимкнені за замовчуванням, а також обмежено віддалений пошук. Вимкнення функції пошуку у вашій установці Log4j допоможе знизити ризик можливих експлойтів.
За межами Log4j все ще існує потреба в ширшому плані запобігання експлойтам з відкритим кодом.
Раніше в травні Білий дім оприлюднив розпорядження які мали на меті покращити національну кібербезпеку. Він включав положення про програмну переліку матеріалів (SBOM), яка, по суті, була офіційним документом, який містив список усіх елементів, необхідних для створення програми.
Сюди входять такі частини, як з відкритим вихідним кодом пакети, залежності та API, які використовуються для розробки. Хоча ідея SBOM корисна для прозорості, чи справді вона допоможе споживачеві?
Оновлення залежностей може бути надто клопоту. Компанії можуть просто вирішити сплатити будь-які штрафи, а не ризикувати витрачати зайвий час на пошук альтернативних пакетів. Можливо, ці SBOM будуть корисними, лише якщо їх сфера обмежується далі.
Висновок
Проблема Log4j – це більше, ніж просто технічна проблема для організацій.
Керівники бізнесу повинні знати про потенційні ризики, які можуть виникнути, коли їхні сервери, продукти чи послуги покладаються на код, який вони самі не обслуговують.
Покладатися на програми з відкритим кодом і сторонні програми завжди супроводжується певним ризиком. Компанії повинні розглянути можливість розробки стратегій зменшення ризиків до того, як з’являться нові загрози.
Значна частина Інтернету покладається на програмне забезпечення з відкритим кодом, яке підтримується тисячами волонтерів у всьому світі.
Якщо ми хочемо зберегти Інтернет у безпеці, уряди та корпорації повинні інвестувати у фінансування зусиль із відкритим кодом та агенцій кібербезпеки, таких як СНД.
залишити коментар