Kā skenēt un novērst Log4j ievainojamību?

Log4j ievainojamība ir viena no nāvējošākajām drošības problēmām mūsdienu sistēmās.

Mežizstrāde ir galvenā mūsdienu lietojumprogrammu funkcija, un reģistrēšanas bibliotēka Log4j ir līderis šajā jomā.

Šī bibliotēka tiek izmantota lielākajā daļā lietojumprogrammu, pakalpojumu un sistēmu. Tādējādi visas tās lietojumprogrammas, kurās tiek izmantots Log4j, ietekmē šī pagājušajā gadā atklātā Log4j ievainojamība.

Pieaugot kiberdrošības problēmām visā pasaulē, organizācijas un privātpersonas veic pasākumus, lai aizsargātu savas lietojumprogrammas, sistēmas un datus.

Un, kad šī ievainojamība tika atklāta, tā vēl vairāk uzsvēra profesionāļus un uzņēmumus.

Tāpēc Log4j ievainojamības noteikšana un tā novēršana ir būtiska, ja vēlaties aizsargāt savus datus, tīklu, reputāciju un klientu uzticību.

Šajā rakstā es apspriedīšu, kas ir Log4j ievainojamība, kā arī darbības, lai to atklātu un novērstu.

Sāksim, izprotot Log4j un kāpēc tas jums ir nepieciešams.

Kas ir Log4j?

Log4j ir Java valodā rakstīta atvērtā koda reģistrēšanas utilīta, ko galvenokārt izmanto, lai saglabātu, formatētu un publicētu lietojumprogrammu un sistēmu ģenerētus reģistrēšanas ierakstus un pēc tam pārbaudītu, vai nav kļūdu. Ieraksti var būt dažāda veida, sākot no tīmekļa lapas un pārlūkprogrammas datiem līdz sistēmas tehniskajiem datiem, kur darbojas Log4j.

Tā vietā, lai rakstītu kodu no jauna, izstrādātāji var izmantot Log4j bibliotēku, integrējot tās kodu savās lietotnēs.

Izmantojot Log4j, izstrādātāji var izsekot visiem notikumiem, kas saistīti ar viņu lietojumprogrammām, izmantojot precīzu reģistrēšanas informāciju. Tas palīdz viņiem pārraudzīt lietojumprogrammas, laikus pamanīt problēmas un novērst problēmas, pirms tās var kļūt par lielākām veiktspējas un/vai drošības problēmām.

Šo uz Java balstīto bibliotēku uzrakstīja Ceki Gülcü, un tā tika izlaista 2001. gadā saskaņā ar Apache licenci 2.0. Tas izmanto Java nosaukšanas un direktoriju interfeisa (JNDI) pakalpojumus, lai ļautu lietotnēm mijiedarboties ar citām lietotnēm, piemēram, LDAP, DNS, CORBA utt., un iegūt direktoriju un nosaukumu piešķiršanas funkcionalitāti uz Java balstītām lietojumprogrammām. Log4j ir trīs komponenti, lai veiktu savus uzdevumus:

  • Mežizstrādes ierakstu fiksatori
  • Izkārtojumi dažādu stilu reģistrēšanas ierakstu formatēšanai
  • Papildinājumi mežizstrādes ierakstu publicēšanai dažādiem galamērķiem

Log4j faktiski ir viena no slavenākajām mežizstrādes bibliotēkām tīmeklī, un to izmanto organizācijas no vairākām nozarēm un valstīm. Viņi ir integrējuši šo reģistrēšanas bibliotēku daudzās lietojumprogrammās, tostarp Google, Microsoft, Apple, Cloudflare, Twitter utt populārākajos mākoņpakalpojumos.

Tās izstrādātājs Apache Software Foundation izstrādāja Log4j 2 — Log4j jauninājumu, lai novērstu iepriekšējos laidienos konstatētās problēmas. Pagājušajā gadā tika atklāta Log4j ievainojamība, kas, ja tā netiek novērsta, var ļaut uzbrucējiem ielauzties lietojumprogrammās un sistēmās, nozagt datus, inficēt tīklu un veikt citas ļaunprātīgas darbības.

Sapratīsim to vairāk.

Kas ir Log4Shell — Log4j ievainojamība?

Log4Shell ir kritiska kiberdrošības ievainojamība Log4j bibliotēkā, kas ietekmē bibliotēkas pamatfunkciju. Tas ļauj uzbrucējam kontrolēt ar internetu savienotu ierīci vai lietojumprogrammu, veicot attālu koda izpildi. Kad viņiem tas izdodas, viņi var:

  • Palaidiet jebkuru kodu ierīcē vai sistēmā
  • Piekļūstiet visam tīklam un datiem
  • Pārveidojiet vai šifrējiet jebkuru failu ietekmētajā lietotnē vai ierīcē

Pirmo reizi par šo ievainojamību 2021. gada 24. novembrī ziņoja Čeņs Džaodžuns, Alibaba (Ķīnas e-komercijas giganta) drošības pētnieks. Ievainojamība skāra viņu Minecraft serverus, ko Alibaba mākoņdrošības komanda atklāja 9. decembrī.

Pēc tam NIST publicēja šo ievainojamību Nacionālajā ievainojamības datu bāzē un nosauca to par CVE-2021-44228. Pēc tam Apache Software Foundation novērtēja šo ievainojamību ar 10 pēc CVSS smaguma pakāpes. Tas tiek piešķirts reti un ir ļoti smags, jo tas var tikt plaši un viegli izmantots, radot milzīgus zaudējumus organizācijām un privātpersonām.

  13 labākā PDF redaktora programmatūra un tiešsaistes pakalpojumi 2022. gadā

Atbildot uz to, Apache izdeva šīs ievainojamības ielāpu, taču dažas daļas joprojām netika novērstas, tādējādi radot citas ievainojamības:

  • CVE-2021-45046, kas veicināja pakalpojuma atteikuma (DoS) uzbrukumus, izmantojot JNDI uzmeklēšanu
  • CVE-2021-45105, lai ļautu hakeriem kontrolēt pavediena konteksta kartes informāciju un izraisīt DoS uzbrukumus, interpretējot izveidoto virkni
  • CVE-2021-44832 ietekmē visas Log4j 2 versijas, izmantojot attālo koda ievadīšanu (RCE)

Kā darbojas Log4Shell?

Lai saprastu tās nopietnību un to, cik lielu kaitējumu var nodarīt Log4Shell, ir svarīgi uzzināt, kā šī Log4j ievainojamība darbojas.

Log4Shell ievainojamība ļauj uzbrucējam attālināti ievadīt jebkuru patvaļīgu kodu tīklā un iegūt pilnīgu kontroli pār to.

Šī kiberuzbrukuma secība sākas ar reģistrēšanas bibliotēku, piemēram, Log4j, kas apkopo un saglabā žurnāla informāciju. Ja nav reģistrēšanas bibliotēkas, visi dati no servera tiks arhivēti uzreiz pēc datu apkopošanas.

Bet, ja vēlaties analizēt šos datus vai veikt dažas darbības, pamatojoties uz konkrētu žurnāla informāciju, jums būs nepieciešama reģistrēšanas bibliotēka, lai parsētu žurnāla datus pirms to arhivēšanas.

Log4j ievainojamības dēļ jebkura sistēma vai lietotne, kas izmanto Log4j, kļūst neaizsargāta pret kiberuzbrukumiem. Reģistrācijas bibliotēka izpilda kodu, pamatojoties uz ievadi. Hakeris var piespiest žurnālu bibliotēku izpildīt kaitīgu kodu, jo ievainojamība ļaus manipulēt ar ievadi.

Tikmēr daudzas lietas notiek fonā. Kad Log4j tiek nodota īpaši izveidota virkne, tas izsauks LDP serveri un lejupielādēs šo tā direktorijā mitināto kodu, lai izpildītu kodu. Tādā veidā uzbrucēji var izveidot LDAP serveri, lai saglabātu ļaunprātīgu kodu, kas var palīdzēt viņiem kontrolēt jebkuru serveri, kurā kods tiek izpildīts. Pēc tam tas nosūtīs virkni, kas novirzīs viņu ļaunprātīgo kodu uz atlasīto lietotni vai sistēmu, un pilnībā pārņems to kontroli.

Tātad Log4j ievainojamību var izmantot šādi:

  • Uzbrucējs atrod serveri ar ievainojamu Log4j versiju.
  • Viņi nosūtīs mērķa serverim saņemšanas pieprasījumu ar sava ļaunprātīgā LDAP servera saiti.
  • Mērķa serveris tā vietā, lai pārbaudītu pieprasījumu, tieši izveidos savienojumu ar šo LDAP serveri.
  • Uzbrucēji tagad nosūtīs mērķa serveri ar LDAP servera atbildi, kas satur ļaunprātīgu kodu. Log4j ievainojamības dēļ, kas ļauj saņemt kodu un izpildīt to bez verifikācijas, hakeris var izmantot šo vājumu, lai ielauztos mērķa serverī un izmantotu savienotās sistēmas, tīklus un ierīces.

Kā Log4j ievainojamība var kaitēt lietotājiem?

Log4j ievainojamība rada bažas, jo tā tiek izmantota plašā lietojumprogrammu un sistēmu klāstā.

Tā kā reģistrēšana ir būtiska funkcija lielākajā daļā programmatūras lietotņu un Log4j ir vadošais risinājums šajā telpā, Log4j atrod lietojumprogrammas dažādās programmatūras sistēmās.

Daži no populārākajiem pakalpojumiem un lietotnēm, kas izmanto Log4j, ir Minecraft, AWS, iCloud, Microsoft, Twitter, interneta maršrutētāji, programmatūras izstrādes rīki, drošības rīki un tā tālāk. Tādējādi uzbrucēji var mērķēt uz lielu skaitu lietojumprogrammu, pakalpojumu un sistēmu no mājas lietotājiem, kodu izstrādātājiem, pakalpojumu sniedzējiem un citiem saistītiem speciālistiem un privātpersonām.

Turklāt Log4j ievainojamību uzbrucējs var ļoti viegli izmantot. Lai veiktu uzbrukumu, kopējais process prasa mazāk prasmju kopumu, nevis eksperta līmeņa. Tāpēc pieaug to uzbrukumu skaits, kuros tiek izmantota šī ievainojamība.

Log4j ievainojamības ietekme ir šāda:

  • DoS uzbrukumi
  • Piegādes ķēdes uzbrukumi
  • Monētu ieguve
  • Ļaunprātīgas programmatūras injekcijas, piemēram, izpirkuma programmatūra un Trojas zirgi
  • Patvaļīga koda ievadīšana
  • Attālā koda izpilde

Un vēl.

Šo uzbrukumu rezultātā jūs varat zaudēt savas lietojumprogrammas, sistēmas un ierīces, un jūsu dati var kļūt par upuriem uzbrucējiem, kuri var pārdot jūsu datus, manipulēt ar tiem vai pakļaut tos ārpasaulei. Tādējādi jūsu uzņēmumam var tikt nodarīts kaitējums attiecībā uz klientu datu konfidencialitāti, uzticēšanos, organizācijas noslēpumiem un pat jūsu pārdošanas apjomiem un ieņēmumiem, nemaz nerunājot par atbilstības riskiem.

Saskaņā ar ziņojumuvairāk nekā 40% globālo korporatīvo tīklu ir piedzīvojuši uzbrukumus šīs ievainojamības dēļ.

  Atrodiet, kas dzīvo jūsu apkārtnē?

Tātad, pat ja savās lietojumprogrammās neizmantojat nevienu ievainojamu Log4j versiju, to var izmantot jūsu trešo pušu integrācijas, kas padara jūsu lietotni neaizsargātu pret uzbrukumiem.

Ņemiet vērā, ka visas Log4j versijas pirms Log4j 2.17.0. ir ietekmēti; tādēļ, ja izmantojat reģistrētāju, jums tas ir jājaunina. Turklāt slaveni pārdevēji, kurus ietekmē šī Log4j ievainojamība, ir Adobe, AWS, IBM, Cisco, VMware, Okta, Fortinet utt. Ja izmantojat kādu no tiem, nepārtraukti pārraugiet savas lietotnes un izmantojiet drošības sistēmas, lai novērstu problēmas, tiklīdz tas parādās. rodas.

Kā noteikt Log4j ietekmētās programmas un novērst problēmas

Log4Shell ievainojamības CVSS vērtējumā ir 10. Tādējādi visas Log4j problēmas vēl nav izlabotas. Taču pastāv iespēja, ka jūs vai jūsu trešās puses piegādātājs izmantojat Log4j, ko esat izmantojis savā lietojumprogrammā.

Tāpēc, ja vēlaties aizsargāt savus datus, sistēmas un tīklu, noteikti veiciet dažas atlīdzināšanas darbības.

#1. Atjauniniet savu Log4j versiju

Pašreizējās Log4j versijas atjaunināšana uz Log 4j 2.17.1 ir visefektīvākā novēršanas metode, ja vēlaties aizsargāt savu ierīci un lietotnes no uzbrukumiem, ko izraisa Log4j ievainojamība.

Log4Shell ir nulles dienas uzbrukuma veids, kas potenciāli var ietekmēt jūsu programmatūras ekosistēmu. Apache ir novērsis dažas ievainojamības jaunākajās versijās, taču, ja jūsu sistēma tika apdraudēta pirms jaunināšanas, jūs joprojām esat pakļauts riskam.

Tādējādi, pieņemot to, jums ir ne tikai jājaunina versija, bet arī nekavējoties jāsāk reaģēšanas uz incidentiem procedūras, lai nodrošinātu, ka jūsu sistēmās un lietotnēs nav ievainojamību un mazinātu uzbrukumus. Jums arī jāpārskata visi servera žurnāli, lai atrastu kompromisa indikatorus (IOC) un pastāvīgi jāuzrauga savas sistēmas un tīkls.

#2. Izmantojiet jaunākos ugunsmūrus un drošības sistēmas

Ugunsmūri, piemēram, Web Application Firewall (WAF) un nākamās paaudzes ugunsmūri, var palīdzēt aizsargāt tīkla perimetru no uzbrucējiem, skenējot ienākošās un izejošās datu paketes un bloķējot aizdomīgās. Tāpēc izmantojiet jaunākos ugunsmūrus savā tīklā un iestatiet stingrus izejošos noteikumus savos serveros, lai palīdzētu novērst uzbrukumus, kas saistīti ar Log4j ievainojamību.

Lai gan uzbrucēji var apiet ugunsmūrus, jūs joprojām iegūsit zināmu drošības pakāpi, izmantojot ugunsmūrus, kas var bloķēt uzbrucēja pieprasījumus.

Turklāt atjauniniet visas savas drošības sistēmas, piemēram, ielaušanās noteikšanas sistēmas (IDS), ielaušanās novēršanas sistēmas (IPS) utt., izmantojot jaunākos parakstus un noteikumus. Šīs sistēmas palīdzēs bloķēt vai filtrēt RMI un LDAP trafiku no savienojuma ar ļaunprātīgu LDAP serveri.

#3. Īstenot MFA

Daudzfaktoru autentifikācijas (MFA) iestatīšana lietojumprogrammās un sistēmā nodrošinās labāku drošību pret uzbrucējiem. Tas nodrošinās otro drošības līmeni pat tad, ja uzbrucējam izdosies uzlauzt pirmo slāni. To var izdarīt, izmantojot biometriskos datus, piemēram, pirkstu nospiedumus, varavīksnenes skenēšanu utt., iestatot drošības jautājumu vai iespējojot drošības PIN.

MFA izmantošana palielinās uzbrucēju grūtības un laiku, lai veiktu pilnvērtīgu uzbrukumu. Tikmēr tā var arī nekavējoties informēt jūs par incidentu, lai jūs varētu veikt nepieciešamās atlīdzināšanas darbības, kad jums vēl ir laiks.

Turklāt jums ir jāpiemēro arī stingras VPN politikas, lai samazinātu datu pārkāpumus. Tas ļaus lietotājiem droši piekļūt jūsu sistēmām no jebkuras vietas, nebaidoties no uzbrucējiem.

#4. Mainiet sistēmas rekvizītus

Ja nevarat jaunināt uz jaunāko Log4j bibliotēkas versiju, jums nekavējoties jāmaina Java sistēmas rekvizīti, ja izmantojat versiju no Log4j 2.10 līdz Log4j 2.14.1.

Tas ir jāiestata tā, lai novērstu uzmeklēšanu, ko uzbrucēji izmanto, lai atklātu ievainojamības un pēc tam atrastu veidus, kā tās izmantot.

#5. Noņemiet JNDI

Šīs kritiskās drošības ievainojamības iemesls ir tās dizains. JNDI Lookup spraudnim ir dizaina kļūda, ar kuras palīdzību uzbrucēji var veikt uzbrukumu.

JNDI tiek izmantots koda izpildei, pamatojoties uz ievades datiem savā žurnālā, ar kuriem ikviens var viegli manipulēt, jo reģistrētājs pieņem jebkuru pieprasījumu bez pārbaudes.

  Kā novērst Steam spēļu avāriju startēšanas laikā (pilns ceļvedis)

Drošības pētnieki ir atklājuši, ka šis spraudnis vienmēr ir pieļāvis neparsētus datus kopš tā izlaišanas 2013. gadā un nosūta tos uz Log4j bibliotēku.

Tāpēc Log4j ievainojamība ir pakļauta izmantošanai ar vienkāršu virknes injekciju. Kad uzbrucējs to ievada, reģistrētājs pieņems virknē pieprasīto darbību un veiks to uzreiz bez pārbaudes.

Tātad, ja vēlaties aizsargāt savas sistēmas un lietojumprogrammu, jums ir jāatspējo klase – JndiLookup. Tas neļaus reģistrētājam veikt darbības, pamatojoties uz žurnāla datiem.

Faktiski JNDI uzmeklēšana jau pēc noklusējuma ir atspējota Log4j 2.16.0, lai mēģinātu aizsargāt jūsu lietojumprogrammas un sistēmas.

Tātad, ja izmantojat Log4j versiju, kas ir zemāka par 2.16.0, pārliecinieties, vai esat atspējojis JNDI uzmeklēšanu.

#6. Runājiet ar saviem pārdevējiem

Ja jums viss ir pareizi, jūsu ugunsmūri un drošības sistēmas ir atjauninātas, Log4j versija atjaunināta, JNDI uzmeklēšana ir atspējota utt., vēl neatslābieties.

Pat ja savās lietojumprogrammās neizmantojat ievainojamu Log4j versiju, jūsu trešās puses piegādātāji to var izmantot. Tātad jūs nekad neuzzināsit, kā jūsu lietojumprogramma vai sistēma tika uzlauzta, jo patiesā problēma bija jūsu trešās puses integrācija.

Tāpēc konsultējieties ar saviem pārdevējiem un pārliecinieties, ka arī viņi ir jauninājuši Log4j uz jaunāko versiju un ieviesuši citas iepriekš aprakstītās drošības metodes.

#7. Izmantojiet Log4j ievainojamības skeneri

Tirgū ir pieejami daudzi Log4j ievainojamību skenēšanas rīki, kas atvieglo Log4j ievainojamību atklāšanu jūsu sistēmās un lietojumprogrammās.

Tāpēc, meklējot šos rīkus, pārbaudiet to precizitātes rādītājus, jo daudzi no tiem rada viltus pozitīvus rezultātus. Atrodiet arī rīku, kas var apmierināt jūsu vajadzības, jo tie var koncentrēties uz Log4j ievainojamības identificēšanu, ziņošanu par iedarbību un ievainojamības novēršanu.

Tātad, ja jūsu uzmanības centrā ir atklāšana, atrodiet Log4j ievainojamības skeneri, kas var noteikt problēmu, vai izmantojiet skeneri, kas var atklāt un novērst problēmu.

Daži no labākajiem Log4j skenēšanas rīkiem ir:

  • Microsoft 365 Defender: Microsoft piedāvā virkni drošības risinājumu un rīku, kas palīdz noteikt un novērst Log4j ļaunprātīgu izmantošanu jūsu tīklā. Jūs varēsiet pamanīt attālas koda izpildes un izmantošanas mēģinājumus, pasargājot jūs no Log4j ievainojamībām Windows un Linux ierīcēs.
  • Amazon Inspector un AWS: Amazon ir izveidojis skenēšanas rīku, lai atrastu Log4j ievainojamību Amazon EC2 gadījumos un Amazon ECR.
  • CloudStrike arhīva skenēšanas rīks (CAST): CloudStrike ir arī izveidojis lielisku skenēšanas rīku, lai atklātu Log4j ievainojamību, lai palīdzētu jums savlaicīgi novērst problēmas, pirms uzbrucēji to var izmantot.
  • Google mākoņa reģistrēšanas noteikšana: Google mākoņa reģistrēšanas noteikšanas risinājums ļauj noteikt Log4j ekspluatāciju, izmantojot žurnālu pārlūku. Šajā rīkā varat izveidot žurnāla vaicājumu un meklēt iespējamās izmantošanas virknes.
  • Google ir arī izveidojis log4jscanner — atvērtā koda failu sistēmas skeneri, lai noteiktu Log4j ievainojamību.
  • BurpSuite Log4j skeneris: šis ir drošības spraudnis profesionāļiem un uzņēmumiem, lai palīdzētu viņiem atklāt Log4j ievainojamību.
  • Huntress Log4Shell ievainojamības pārbaudītājs: šis rīks nejauši ģenerē unikālu identifikatoru, ko varat izmantot, pārbaudot ievades laukus. Atrodot ievainojamību lietojumprogrammā vai ievades laukā, tā drošais LDAP serveris nekavējoties pārtrauks ļaunprātīgo savienojumu un pasargās jūs.
  • WhiteSource Log4j Detect: WhiteSource ir izveidojis bezmaksas CLI rīku WhiteSource Log4j Detect, kas tiek mitināts vietnē GitHub, lai palīdzētu atklāt un novērst Log4j ievainojamības — CVE-2021-445046 un CVE-2021-44228.
  • JFrog atvērtā koda skenēšanas rīki Log4j: JFrog ir izveidojis dažādus atvērtā pirmkoda risinājumus un rīkus, lai atrastu Log4j ievainojamības jūsu binārajos failos un pirmkodā.

Secinājums

Log4j ievainojamība ir kritiska drošības problēma. Tā kā šī reģistrēšanas bibliotēka tiek plaši izmantota dažādās lietojumprogrammās un sistēmās, Log4j ievainojamība ir kļuvusi plaši izplatīta, ļaujot uzbrucējiem izmantot plašu sistēmu un lietotņu klāstu.

Tātad, ja vēlaties aizsargāt savas sistēmas un lietojumprogrammas no šīs ievainojamības, jauniniet Log4j bibliotēku uz jaunāko versiju un ieviesiet iepriekš aprakstītās labākās drošības prakses.