Isang napakatinding pagkukulang Apache Log4j, tinawag Log4Shell, ngayon ay naging pinaka-high-profile na kahinaan sa seguridad sa Internet sa ngayon na may a marka ng kalubhaan ng 10/10 . Ang Log4j ay isang open-source na Java library para sa pag-log ng mga mensahe ng error sa mga application, na malawakang ginagamit ng hindi mabilang na mga tech firm.
Mula ngayon, ang mga serbisyo ng mga pangunahing kumpanya ng tech ay kasalukuyang naghihirap mula sa kung ano ang tinatawag ng mga eksperto sa seguridad na isa sa mga pinaka-kritikal na mga bahid sa kamakailang kasaysayan. Nagagawa nitong payagan ang mga hacker na walang pigil na pag-access sa mga computer system.
Ayon sa kamakailang ulat ng Microsoft, hindi bababa sa isang dosenang grupo ng mga umaatake ang sumusubok na samantalahin ang kapintasan upang magnakaw ng mga kredensyal ng system, mag-install ng mga crypto miner sa mga prone system, magnakaw ng data, at maghukay ng mas malalim sa loob ng mga nakompromisong network.
Ang depekto ay napakatindi kaya ang ahensya ng cybersecurity ng Pamahalaan ng US ay naglabas ng isang agarang babala sa lahat ng mga mahihinang kumpanya, at nagmungkahi na gumawa sila kaagad ng epektibong mga hakbang. Alamin ang lahat tungkol sa Zero-day na kahinaan na ito- Log4j nang detalyado, at kung paano ka mananatiling ligtas mula dito.
Update : Natuklasan ang Pangalawang Log4j Vulnerability; Inilabas ang Patch
Noong Martes, natuklasan ang pangalawang kahinaan na kinasasangkutan ng Apache Log4j. Ito ay matapos ang mga eksperto sa cybersecurity ay gumugol ng mga araw upang i-patch o pagaanin ang una. Ang opisyal na pangalan ng kahinaang ito ay CVE 2021-45046.
Ang paglalarawan ay nagsasaad na ang pag-aayos upang matugunan ang CVE-2021-44228 sa Apache Log4j 2.15.0 ay hindi kumpleto sa ilang mga hindi default na configuration. Maaari nitong payagan ang mga umaatake… na gumawa ng malisyosong data ng pag-input gamit ang isang pattern ng JNDI Lookup na nagreresulta sa pag-atake ng denial of service (DOS)
Ang kumpanya ng internasyonal na seguridad na ESET ay nagpapakita ng isang mapa na nagpapakita kung saan nangyayari ang pagsasamantala sa Log4j.
Pinagmulan ng Larawan: KASO
Ang magandang bagay ay ang Apache ay naglabas na ng isang patch, Log4j 2.16.0, upang tugunan at ayusin ang isyung ito. Ang pinakabagong patch ay malulutas ang problema sa pamamagitan ng pag-alis ng suporta para sa mga pattern ng paghahanap ng mensahe at hindi pagpapagana ng JNDI functionality bilang default.
Ano ang Log4j Vulnerability?
Ang Log4j Vulnerability na tinatawag ding Log4Shell ay isang isyu sa Logj4 Java library na nagpapahintulot sa mga mapagsamantala na kontrolin at isagawa ang arbitrary code at makakuha ng access sa isang computer system. Ang opisyal na pangalan ng kahinaan na ito ay CVE-2021-44228 .
Ang Log4j ay isang open-source na library ng Java, na nilikha ng Apache, na may pananagutan na panatilihin ang isang talaan ng lahat ng mga aktibidad sa isang application. Malawakang ginagamit ito ng mga developer ng software para sa kanilang mga aplikasyon. Samakatuwid, kahit na ang pinakamalaking tech na kumpanya tulad ng Microsoft, Twitter, at Apple ay madaling kapitan ng pag-atake sa ngayon.
Paano natuklasan o natagpuan ang Log4j Vulnerability?
Ang kahinaan ng Log4Shell (Log4j) ay unang natuklasan ng mga mananaliksik sa LunaSec sa Minecraft na pag-aari ng Microsoft. Nang maglaon, napagtanto ng mga mananaliksik na hindi ito isang Minecraft glitch at binalaan ng LunaSec na marami, maraming mga serbisyo ang mahina sa pagsasamantalang ito dahil sa pagkakaroon ng Log4j sa lahat ng dako.
Simula noon, maraming mga ulat ang dumating na binabanggit ito bilang isa sa mga pinakaseryosong depekto sa mga nagdaang panahon, at isang depekto na makakaapekto sa Internet sa mga darating na taon.
Ano ang magagawa ng Log4j Vulnerability?
Ang kahinaan ng Log4j ay nakapagbibigay ng kumpletong access sa system sa mga hacker/attacker/exploiters. Kailangan lang nilang magsagawa ng arbitrary code upang makakuha ng hindi pinaghihigpitang pag-access. Ang kapintasan na ito ay maaari ring payagan silang makakuha ng kumpletong kontrol sa server kapag manipulahin nila nang maayos ang system.
Ang teknikal na kahulugan ng depekto sa CVE (Common Vulnerabilities and Exposures) library ay nagsasaad na ang isang attacker na maaaring kontrolin ang mga log message o log message parameter ay maaaring magsagawa ng arbitrary code na na-load mula sa mga LDAP server kapag pinagana ang pagpapalit ng paghahanap ng mensahe.
Samakatuwid, ang Internet ay nasa mataas na alerto dahil ang mga mapagsamantala ay patuloy na sinusubukang i-target ang mga mahihinang sistema.
Anong mga device at application ang nasa panganib ng Log4j Vulnerability?
Ang kahinaan ng Log4j ay seryoso para sa anumang mapanlinlang na nagpapatakbo ng Apache Log4J na bersyon 2.0 hanggang 2.14.1 at may access sa Internet. Ayon sa NCSC, ang Apache Struts2, Solr, Druid, Flink, at Swift na mga balangkas ay kasama ang mga bersyon ng pagmamahal (Log4j bersyon 2 o Log4j2).
Naglalagay ito ng napakalaking bilang ng mga serbisyo kabilang ang mga mula sa mga higanteng teknolohiya tulad ng iCloud ng Apple, Minecraft ng Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, atbp.
Bakit napakalubha ng kahinaan na ito at napakahirap na harapin ito?
Ang kahinaan na ito ay napakalubha na ang mga hacker ay sumusubok ng higit sa 100 beses bawat minuto upang pagsamantalahan ang mga mahihinang sistema gamit ang Apache Log4j2. Inilalagay nito ang milyun-milyong kumpanya sa panganib ng cyber theft.
Ayon sa mga ulat, sa India lamang, ang kapintasang ito ay naglagay sa 41% ng mga korporasyon sa panganib ng mga hack. Sinabi ng Check Point Research na nakatuklas ito ng mahigit 846,000 na pag-atake na nagsasamantala sa kapintasan.
Ang Kryptos Logic na isang security firm ay nagpahayag na nakatuklas ito ng higit sa 10,000 iba't ibang mga IP address na nag-scan sa Internet, at ito ay 100 beses ang dami ng mga system na sumusuri para sa LogShell .
Napakalaki ng kahinaan na ito dahil sa katotohanan na ang Apache ay ang pinakamalawak na ginagamit na web server, at ang Log4j ay ang pinakasikat na Java logging package. Mayroon itong higit sa 400,000 pag-download mula sa imbakan ng GitHub nito lamang.
Paano Manatiling Ligtas mula sa Log4j Vulnerability?
Ayon sa pinakabagong mga user, tina-patch ng Apache ang mga problema para sa lahat sa Log4j 2.15.0 at mas bago dahil hindi pinapagana nila ang gawi bilang default. Patuloy na sinusubukan ng mga eksperto na timbangin kung paano mabawasan ang panganib ng banta na ito at pangalagaan ang mga system. Nag-publish din ang Microsoft at Cisco ng mga advisory para sa kapintasan.
Binanggit na yan ng LunaSec Sinabi na ng Minecraft na maaaring i-update ng mga user ang laro upang maiwasan ang anumang mga isyu. Ang iba pang mga open-source na proyekto tulad ng Paper ay naglalabas din ng mga patch upang ayusin ang problema .
Ang Cisco at VMware ay naglabas din ng mga patch para sa kanilang mga apektadong produkto. Karamihan sa mga malalaking kumpanya ng Teknolohiya ay natugunan na ngayon ang isyu sa publiko at nag-aalok ng mga hakbang sa seguridad para sa kanilang mga gumagamit pati na rin sa mga empleyado. Kailangan lang nilang sundin ang mga ito nang mahigpit.
Ano ang Sinasabi ng Mga Eksperto tungkol sa Log4j Vulnerability?
Dahil sa kahinaan ng Log4j, ang mga tagapangasiwa ng system at mga propesyonal sa seguridad ay nalilito sa katapusan ng linggo. Iniulat ng Cisco at Cloudflare na sinasamantala ng mga hacker ang bug na ito mula pa noong simula ng buwang ito. Gayunpaman, ang mga numero ay tumaas nang husto pagkatapos ng pagbubunyag ng Apache noong Huwebes.
Karaniwan, pribado ang pakikitungo ng mga kumpanya sa gayong mga kapintasan. Ngunit, ang saklaw ng epekto ng kahinaang ito ay napakalawak na ang mga kumpanya ay kailangang tugunan ito sa publiko. Maging ang cybersecurity wing ng US Government ay nagbigay ng seryosong babala.
Noong Sabado, sinabi iyon ni Jen Easterly, ang Direktor ng Ahensya ng Cybersecurity at Infrastructure Security ng US Ang kahinaan ay ginagamit na ng isang 'lumalagong hanay ng mga aktor ng pagbabanta,' ang kapintasang ito ay isa sa mga pinakaseryosong nakita ko sa aking buong karera, kung hindi ang pinakaseryoso.
Chris Frohoff, isang independiyenteng mananaliksik ng seguridad ang nagsabi na Ang halos tiyak ay na sa loob ng maraming taon ay matutuklasan ng mga tao ang mahabang buntot ng bagong mahinang software habang nag-iisip sila ng mga bagong lugar upang maglagay ng mga string ng pagsasamantala. Malamang na lalabas ito sa mga pagtatasa at pagsubok sa pagtagos ng mga custom na app ng enterprise sa mahabang panahon.
Naniniwala ang mga eksperto na bagama't mahalagang magkaroon ng kamalayan sa napipintong pangmatagalang epekto ng kahinaan, ang unang priyoridad ay dapat na gumawa ng mas maraming aksyon hangga't maaari ngayon upang mabawasan ang pinsala.
Habang ang mga umaatake ay maghahanap na ngayon ng mas malikhaing paraan upang matuklasan at mapagsamantalahan ang pinakamaraming sistema hangga't kaya nila, ang nakakatakot na kapintasan na ito ay patuloy na magdudulot ng pagkawasak sa buong Internet sa mga darating na taon!
