Ինչպես է Log4J անվտանգության խոցելիությունը ձեզ վտանգի տակ դնում

Բովանդակություն:

Ինչպես է Log4J անվտանգության խոցելիությունը ձեզ վտանգի տակ դնում
Ինչպես է Log4J անվտանգության խոցելիությունը ձեզ վտանգի տակ դնում
Anonim

Հիմնական տանողներ

  • Հաքերները հրապարակել են կոդ, որը բացահայտում է շահագործումը լայնորեն օգտագործվող Java logging գրադարանում:
  • Կիբերանվտանգության հետախույզները նկատել են զանգվածային սկանավորում համացանցում, որոնելով շահագործվող սերվերներ և ծառայություններ:
  • Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը (CISA) հորդորել է վաճառողներին և օգտատերերին շտապ կարկատել և թարմացնել իրենց ծրագրակազմն ու ծառայությունները:

Image
Image

Կիբերանվտանգության լանդշաֆտը վառվում է Java-ի հանրահայտ Log4j-ի գրանցման գրադարանում հեշտությամբ շահագործվող խոցելիության պատճառով: Այն օգտագործվում է բոլոր հայտնի ծրագրերի և ծառայության կողմից և, հավանաբար, արդեն սկսել է ազդել ամենօրյա աշխատասեղանի և սմարթֆոնի օգտագործողների վրա:

Կիբերանվտանգության փորձագետները տեսնում են Log4j-ի շահագործման դեպքերի լայն տեսականի, որոնք արդեն սկսել են հայտնվել մութ ցանցում, սկսած Minecraft սերվերների շահագործումից մինչև ավելի բարձրակարգ խնդիրներ, որոնք նրանք կարծում են, որ կարող են ազդել Apple iCloud-ի վրա:

«Այս Log4j-ի խոցելիությունն ունի կաթիլային ազդեցություն՝ ազդելով ծրագրային ապահովման բոլոր խոշոր մատակարարների վրա, որոնք կարող են օգտագործել այս բաղադրիչը որպես իրենց հավելվածների փաթեթավորման մաս»,- Lifewire-ին էլփոստի միջոցով ասաց Huntress-ի անվտանգության ավագ գիտաշխատող Ջոն Համոնդը: «Անվտանգության համայնքը հայտնաբերել է խոցելի հավելվածներ այլ տեխնոլոգիաների արտադրողներից, ինչպիսիք են Apple-ը, Twitter-ը, Tesla-ն և Cloudflare-ը, ի թիվս այլոց: Մինչ մենք խոսում ենք, արդյունաբերությունը դեռ ուսումնասիրում է հարձակումների հսկայական մակերեսը և վտանգում է այս խոցելիությունը»:

Կրակ փոսում

Խոցելիությունը, որը հետևվում է որպես CVE-2021-44228 և կոչվում է Log4Shell, ունի խոցելիության գնահատման ընդհանուր համակարգում (CVSS) ամենաբարձր խստության միավորը՝ 10:

GreyNoise-ը, որը վերլուծում է ինտերնետ տրաֆիկը` անվտանգության ազդանշաններ ստանալու համար, առաջին անգամ նկատեց այս խոցելիության ակտիվությունը 2021 թվականի դեկտեմբերի 9-ին: Հենց այդ ժամանակ սկսեցին հայտնվել սպառազինված գաղափարի ապացույցների (PoCs) շահագործում, ինչը հանգեցրեց Սկանավորման և հանրային շահագործման արագ աճ 2021 թվականի դեկտեմբերի 10-ին և մինչև հանգստյան օրերը։

Log4j-ը մեծապես ինտեգրված է DevOps-ի շրջանակների և ձեռնարկությունների ՏՏ համակարգերի և վերջնական օգտագործողի ծրագրային ապահովման և հանրաճանաչ ամպային հավելվածների լայն շարքում:

Image
Image

Բացատրելով խոցելիության լրջությունը՝ CloudSEK-ի սպառնալիքների վերլուծաբան Անիրուդ Բաթրան էլփոստով հայտնում է Lifewire-ին, որ սպառնալիքի դերակատարը կարող է այն օգտագործել՝ հեռակա սերվերի վրա կոդ գործարկելու համար:

«Սա խոցելի է դարձրել նաև Minecraft-ի նման հանրահայտ խաղերը: Հարձակվողը կարող է այն օգտագործել՝ պարզապես չաթի տուփում ծանրաբեռնվածություն տեղադրելով: Ոչ միայն Minecraft-ը, այլև iCloud [և] Steam-ի նման հայտնի ծառայությունները նույնպես խոցելի են: Բատրան բացատրեց՝ հավելելով, որ «iPhone-ում խոցելիության գործարկումը նույնքան պարզ է, որքան սարքի անունը փոխելը:«

Այսբերգի հուշում

Կիբերանվտանգության Tenable ընկերությունը առաջարկում է, որ քանի որ Log4j-ն ընդգրկված է մի շարք վեբ հավելվածներում և օգտագործվում է մի շարք ամպային ծառայությունների կողմից, խոցելիության ամբողջական շրջանակը որոշ ժամանակ հայտնի չի լինի:

Ընկերությունը մատնանշում է GitHub պահոցը, որը հետևում է ազդեցության ենթարկված ծառայություններին, որոնք գրելու պահին թվարկում են մոտ երեք տասնյակ արտադրողներ և ծառայություններ, ներառյալ այնպիսի հայտնիները, ինչպիսիք են Google-ը, LinkedIn-ը, Webex-ը, Blender-ը և մյուսները, որոնք ավելի վաղ նշված էին:

Մինչ մենք խոսում ենք, արդյունաբերությունը դեռ ուսումնասիրում է հարձակման հսկայական մակերեսը և վտանգում է այս խոցելիությունը:

Մինչ այժմ գործունեության ճնշող մեծամասնությունը եղել է սկանավորում, սակայն նկատվել են նաև շահագործման և հետշահագործման գործողություններ:

«Microsoft-ը դիտարկել է գործողություններ, ներառյալ մետաղադրամների հանքագործների տեղադրումը, Cob alt Strike-ը, որը թույլ է տալիս հավատարմագրերի գողությունը և կողային տեղաշարժը, և տվյալների արտահոսքը վտանգված համակարգերից», - գրում է Microsoft Threat Intelligence Center-ը::

Batten Down the Hatches

Զարմանալի չէ, ուրեմն, որ Log4j-ի օգտագործման հեշտության և տարածվածության պատճառով GreyNoise-ի հիմնադիր և գործադիր տնօրեն Էնդրյու Մորիսը Lifewire-ին ասում է, որ կարծում է, որ թշնամական ակտիվությունը կշարունակի աճել առաջիկա մի քանի օրվա ընթացքում:

Լավ նորությունն, այնուամենայնիվ, այն է, որ Apache-ն՝ խոցելի գրադարանի մշակողները, թողարկել է կարկատել՝ չեզոքացնելու շահագործումները: Բայց այժմ ծրագրային ապահովման առանձին արտադրողների խնդիրն է, որ կարկատեն իրենց տարբերակները՝ իրենց հաճախորդներին պաշտպանելու համար:

Image
Image

Կունալ Անանդը, Imperva կիբերանվտանգության ընկերության CTO, Lifewire-ին էլ. հենց որ կարկատները հասանելի լինեն։

Տրամաբանությունը արձագանքեց Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) տնօրեն Ջեն Իսթերլին:

«Վերջնական օգտվողները կախված կլինեն իրենց վաճառողներից, և վաճառողների համայնքը պետք է անհապաղ բացահայտի, մեղմի և կարկատի այս ծրագրաշարն օգտագործող ապրանքների լայն տեսականի: Վաճառողները պետք է նաև շփվեն իրենց հաճախորդների հետ, որպեսզի վերջնական օգտագործողները իմանան որ իրենց արտադրանքը պարունակում է այս խոցելիությունը և պետք է առաջնահերթություն տա ծրագրային ապահովման թարմացումներին», - ասվում է Իսթերլիի հայտարարության մեջ:

Խորհուրդ ենք տալիս: