Paljud süsteemid kasutavad juba rakendustes veateadete logimiseks Java teeki Log4j. Kuid Apache'i hiljuti avalikustatud viga võib potentsiaalselt võimaldada häkkeritel kontrollimatut juurdepääsu seadmetele kogu maailmas.
Tegelikult püüavad küberkurjategijad seda haavatavust juba ära kasutada ning kõik võrgurakendused, avatud lähtekoodiga tarkvara, pilveplatvormid ja meiliteenused võivad olla ohus.
Mis on Log4j? Kus seda kasutatakse? Ja kas saate end Log4j vea eest kaitsta?
Mis on Log4j?
Usaldusväärne meetod tarkvara silumiseks selle arenduse elutsükli jooksul hõlmab logilausete sisestamist koodi. Log4j on üks selline Java logimisteek, mis on ühtaegu usaldusväärne ja paindlik.
Avatud lähtekoodiga Apache Software Foundationi poolt välja töötatud ja hooldatud Log4j saab töötada kõigil suurematel platvormidel, sealhulgas Windowsis, Linuxis ja Apple'i macOS-is.
Kuidas Log4j-d kasutatakse?
Logimine on tarkvaraarenduses ülioluline, kuna see näitab süsteemi olekut käitusajal. Süsteemi tegevuste logide igal hetkel kättesaadavaks tegemine võib olla probleemidele silma peal hoidmisel väga kasulik.
Ütlematagi selge, et arendajad kasutavad Log4j-d erinevates arendusfaasides. Seda kasutatakse ka võrgumängudes, ettevõtte tarkvaras ja pilvandmekeskustes.
Log4j moodustavad kolm põhikomponenti, mida tuntakse logijate, lisade ja paigutustena; kõik töötavad koos, et täita süstemaatiliselt metsaraie eesmärki.
Mis on Log4j haavatavus?
Log4j haavatavus võib jätta Log4j-d sisaldavad süsteemid avatuks välistele sissetungidele, muutes ohus osalejatel hõlpsaks sissepääsu ja privilegeeritud juurdepääsu.
See haavatavus oli alati olemas ja see jäeti tähelepanuta, kui see 2020. aastal avastati. Kuid Apache on nüüd selle haavatavuse ametlikult avaldanud Log4j raamatukogu pärast seda, kui LunaSeci uurija tuvastas selle Microsofti Minecraftis.
Ja sellest ajast peale on üha rohkem ründajaid hakanud seda loomulikult ära kasutama, muutes selle varem tähelepanuta jäetud (või nii tundub) haavatavuse lühikese ajaga millekski tõsisemaks.
Millised süsteemid ja seadmed on ohus?
Kõik suuremad Java-põhised ettevõttetarkvarad ja serverid kasutavad Log4j teeki. Kuna see on laialt levinud tarkvararakendustes ja võrguteenustes, on paljud teenused selle ärakasutamise suhtes haavatavad.
See võib ohustada kõiki seadmeid, mis käitavad Apache Log4j versioone 2.0 kuni 2.14.1 ja kasutavad Internetti. Tegelikult kasutab Log4j tohutu hulk teenuseid, näiteks Apple'i iCloud, Microsofti Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex ja LinkedIn.
Kuna Log4j on klassifitseeritud nullpäeva haavatavaks, on sellel palju tagajärgi. Kui see jäetakse parandamata, võib see avada suure purgi usse – ründajad võivad tungida süsteemidesse, varastada paroole ja sisselogimisi ja nakatada võrke pahatahtliku tarkvaraga, kuna see haavatavus ei vaja palju teadmisi ära kasutama.
Seotud: Mis on nullpäeva ärakasutamine ja kuidas rünnakud toimivad?
Kuidas kaitsta end Log4j haavatavuse eest
Siin on mõned näpunäited, mis aitavad teil Log4j haavatavust leevendada.
Paigutamine ja värskendused
Teie organisatsioon peaks kiiresti tuvastama Interneti-ühendusega seadmed, milles töötab Log4j, ja uuendama need versioonile 2.15.0.
Samuti peaksite installima kõik tootjate ja tarnijate väljastatud värskendused ja turvapaigad, kui need muutuvad kättesaadavaks. Näiteks Minecraft on juba soovitanud kasutajatel mängu värskendada, et probleeme vältida. Teised avatud lähtekoodiga projektid, nagu Paper, väljastavad probleemi lahendamiseks samamoodi plaastreid.
Seadistage veebirakenduse tulemüüris reeglid Log4j vastu
Parim kaitsevorm Log4j vastu on hetkel veebirakenduse tulemüüri (WAF) installimine. Kui teie organisatsioon juba kasutab WAF-i, on kõige parem installida reeglid, mis keskenduvad Log4j-le.
Tuvastades ja blokeerides ohtlikud märgistringid ülesvoolu seadmetes, nagu WAF, saate kaitsta oma rakendusi Log4j mõju eest.
Ohujaht ja hoiatused
Riiklik küberturvalisuse keskus (NCSC) soovitab hoiatuste seadistamine Log4j töötavate seadmete uurimiseks või rünnakuteks.
Paluge oma organisatsiooni turvatoimingutel jätkata regulaarset kõrvalekallete otsimist ja võtta meetmeid iga Log4j-ga genereeritud hoiatuse puhul.
Seotud: Parimad veebirakenduste tulemüüriteenused teie veebisaidi kaitsmiseks
Log4j on siin, et jääda
Log4j on maailma vallutanud ja tundub, et see on siin pikka aega. Kuna sellise ulatusega haavatavuse jaoks pole kõigile sobivat lahendust, hoiab Log4j IT-maailma veel mitu kuud hõivatud.
Praegusel kujul püüavad turvateadlased, kaitsemeeskonnad ja valgekübaraga häkkerid välja selgitada, kui kõikjal see haavatavus on ja kui kauakestev mõju on.
Kuigi olukord tundub praegu nukker, peaksid lõppkasutajad siiski selle leevendamise prioriteediks pidama seda haavatavust, järgides eelnimetatud näpunäiteid ja küberturvalisuse juhiseid eksperdid.
Valge mütsi häkker on eetiline häkker, kes kasutab oma oskusi küberrünnakute eest kaitsmiseks. Siin on, mida pead teadma.
Loe edasi
- Turvalisus
- Interneti-turvalisus
- Java
Kinza on tehnoloogiaajakirjanik, kellel on kraad arvutivõrkude alal ja tal on mitmeid IT-sertifikaate. Enne tehnilise kirjutamise juurde asumist töötas ta telekommunikatsioonitööstuses. Kuna tal on küberturvalisuse ja pilvepõhiste teemade nišš, meeldib talle aidata inimestel tehnoloogiat mõista ja hinnata.
Liituge meie uudiskirjaga
Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!
Tellimiseks klõpsake siin
