Πώς να σαρώσετε και να διορθώσετε την ευπάθεια Log4j;

από
Tweet
Share
Share
Pin

Η ευπάθεια Log4j είναι ένα από τα πιο θανατηφόρα ζητήματα ασφάλειας στα σύγχρονα συστήματα.

Η καταγραφή είναι ένα βασικό χαρακτηριστικό στις σύγχρονες εφαρμογές και η βιβλιοθήκη καταγραφής, Log4j, είναι ηγέτης σε αυτόν τον χώρο.

Αυτή η βιβλιοθήκη χρησιμοποιείται στις περισσότερες εφαρμογές, υπηρεσίες και συστήματα. Ως εκ τούτου, όλες εκείνες οι εφαρμογές όπου χρησιμοποιείται το Log4j επηρεάζονται από αυτήν την ευπάθεια Log4j που βρέθηκε πέρυσι.

Με τις αυξανόμενες ανησυχίες για την ασφάλεια στον κυβερνοχώρο παγκοσμίως, οργανισμοί και ιδιώτες λαμβάνουν μέτρα για την προστασία των εφαρμογών, των συστημάτων και των δεδομένων τους.

Και όταν ανακαλύφθηκε αυτή η ευπάθεια, άγχωνε ακόμη περισσότερο τους επαγγελματίες και τις επιχειρήσεις.

Ως εκ τούτου, ο εντοπισμός της ευπάθειας Log4j και η διόρθωσή της είναι απαραίτητος εάν θέλετε να προστατεύσετε τα δεδομένα, το δίκτυο, τη φήμη και την εμπιστοσύνη των πελατών σας.

Σε αυτό το άρθρο, θα συζητήσω ποια είναι η ευπάθεια Log4j, μαζί με τα βήματα για τον εντοπισμό και τη διόρθωσή της.

Ας ξεκινήσουμε κατανοώντας το Log4j και γιατί το χρειάζεστε.

Τι είναι το Log4j;

Log4j είναι ένα βοηθητικό πρόγραμμα καταγραφής ανοιχτού κώδικα γραμμένο σε Java που χρησιμοποιείται κυρίως για την αποθήκευση, τη μορφοποίηση και τη δημοσίευση εγγραφών καταγραφής που δημιουργούνται από εφαρμογές και συστήματα και στη συνέχεια για έλεγχο για σφάλματα. Οι εγγραφές μπορεί να είναι διαφόρων τύπων, από μια ιστοσελίδα και δεδομένα προγράμματος περιήγησης έως τις τεχνικές λεπτομέρειες ενός συστήματος όπου εκτελείται το Log4j.

Αντί να γράφουν κώδικα από την αρχή, οι προγραμματιστές μπορούν να χρησιμοποιήσουν τη βιβλιοθήκη Log4j ενσωματώνοντας τον κώδικά της στις εφαρμογές τους.

Χρησιμοποιώντας το Log4j, οι προγραμματιστές μπορούν να παρακολουθούν όλα τα συμβάντα που σχετίζονται με τις εφαρμογές τους με ακριβείς πληροφορίες καταγραφής. Τους βοηθά να παρακολουθούν τις εφαρμογές, να εντοπίζουν έγκαιρα προβλήματα και να διορθώνουν προβλήματα προτού μετατραπούν σε μεγαλύτερο πρόβλημα όσον αφορά την απόδοση ή/και την ασφάλεια.

Αυτή η βιβλιοθήκη που βασίζεται σε Java γράφτηκε από τον Ceki Gülcü και κυκλοφόρησε το 2001 με την άδεια Apache 2.0. Χρησιμοποιεί υπηρεσίες ονομασίας Java και Διεπαφή καταλόγου (JNDI) για να επιτρέπει στις εφαρμογές να αλληλεπιδρούν με άλλες εφαρμογές όπως LDAP, DNS, CORBA κ.λπ., και να αποκτούν έναν κατάλογο και μια λειτουργικότητα ονομασίας για εφαρμογές που βασίζονται σε Java. Το Log4j έχει τρία στοιχεία για την εκτέλεση των εργασιών του:

  • Καταγραφικά για τη λήψη εγγραφών καταγραφής
  • Διατάξεις για τη μορφοποίηση εγγραφών καταγραφής σε διαφορετικά στυλ
  • Εφαρμογές για δημοσίευση εγγραφών καταγραφής σε διαφορετικούς προορισμούς

Η Log4j είναι, στην πραγματικότητα, μια από τις πιο διάσημες βιβλιοθήκες καταγραφής στον Ιστό και χρησιμοποιείται από οργανισμούς από πολλές βιομηχανίες και χώρες. Έχουν ενσωματώσει αυτήν τη βιβλιοθήκη καταγραφής σε πολλές εφαρμογές, συμπεριλαμβανομένων κορυφαίων υπηρεσιών cloud από την Google, τη Microsoft, την Apple, το Cloudflare, το Twitter κ.λπ.

Ο προγραμματιστής του, το Apache Software Foundation, ανέπτυξε το Log4j 2, μια αναβάθμιση στο Log4j για την αντιμετώπιση των προβλημάτων που βρέθηκαν στις προηγούμενες εκδόσεις. Πέρυσι, εντοπίστηκε μια ευπάθεια στο Log4j, η οποία, όταν δεν επιλυθεί, μπορεί να επιτρέψει στους εισβολείς να εισβάλουν σε εφαρμογές και συστήματα, να κλέψουν δεδομένα, να μολύνουν ένα δίκτυο και να εκτελέσουν άλλες κακόβουλες δραστηριότητες.

Ας το καταλάβουμε περισσότερο.

Τι είναι το Log4Shell – η ευπάθεια Log4j;

Το Log4Shell είναι μια κρίσιμη ευπάθεια κυβερνοασφάλειας στη βιβλιοθήκη Log4j, η οποία επηρεάζει τη βασική λειτουργία της βιβλιοθήκης. Επιτρέπει σε έναν εισβολέα να ελέγχει μια συσκευή ή εφαρμογή συνδεδεμένη στο Διαδίκτυο εκτελώντας απομακρυσμένη εκτέλεση κώδικα. Όταν είναι επιτυχείς σε αυτό, μπορούν:

  • Εκτελέστε οποιονδήποτε κωδικό στη συσκευή ή το σύστημα
  • Πρόσβαση σε όλα τα δίκτυα και τα δεδομένα
  • Τροποποιήστε ή κρυπτογραφήστε οποιοδήποτε αρχείο στην επηρεαζόμενη εφαρμογή ή συσκευή

Αυτή η ευπάθεια αναφέρθηκε για πρώτη φορά στις 24 Νοεμβρίου 2021, από τον Chen Zhaojun, ερευνητή ασφάλειας στην Alibaba (ένας κινεζικός γίγαντας ηλεκτρονικού εμπορίου). Η ευπάθεια επηρέασε τους διακομιστές Minecraft, τους οποίους ανακάλυψε η ομάδα ασφάλειας cloud της Alibaba στις 9 Δεκεμβρίου.

Στη συνέχεια, το NIST δημοσίευσε αυτό το θέμα ευπάθειας στην Εθνική βάση δεδομένων ευπάθειας και το ονόμασε CVE-2021-44228. Στη συνέχεια, το Apache Software Foundation βαθμολόγησε αυτήν την ευπάθεια ως 10 στη σοβαρότητα CVSS. Αυτό σπάνια εκχωρείται και είναι πολύ σοβαρό, καθώς έχει τη δυνατότητα να αξιοποιηθεί ευρέως και εύκολα, οδηγώντας σε τεράστια ζημιά για οργανισμούς και άτομα.

  7 γεννήτριες σήμανσης σχήματος για να προχωρήσετε στο παιχνίδι SEO σας

Ο Apache, ως απάντηση, εξέδωσε μια ενημερωμένη έκδοση κώδικα για αυτήν την ευπάθεια, αλλά παρόλα αυτά, ορισμένα τμήματα παρέμειναν χωρίς αντιμετώπιση, οδηγώντας σε άλλα τρωτά σημεία:

  • CVE-2021-45046 που διευκόλυνε επιθέσεις άρνησης υπηρεσίας (DoS) μέσω αναζητήσεων JNDI
  • CVE-2021-45105 για να επιτρέψει στους χάκερ να ελέγχουν τις πληροφορίες του χάρτη περιβάλλοντος νήματος και να προκαλούν επιθέσεις DoS ερμηνεύοντας μια δημιουργημένη συμβολοσειρά
  • Το CVE-2021-44832 επηρεάζει όλες τις εκδόσεις Log4j 2 μέσω Remote Code Injection (RCE)

Πώς λειτουργεί το Log4Shell;

Για να κατανοήσετε τη σοβαρότητά του και πόσο κακό μπορεί να κάνει το Log4Shell, είναι σκόπιμο να μάθετε πώς λειτουργεί αυτή η ευπάθεια Log4j.

Η ευπάθεια Log4Shell επιτρέπει σε έναν εισβολέα να εισάγει εξ αποστάσεως οποιονδήποτε αυθαίρετο κώδικα σε ένα δίκτυο και να αποκτήσει τον πλήρη έλεγχο του.

Αυτή η ακολουθία κυβερνοεπιθέσεων ξεκινά με τη βιβλιοθήκη καταγραφής, όπως το Log4j, συλλογή και αποθήκευση πληροφοριών καταγραφής. Εάν δεν υπάρχει βιβλιοθήκη καταγραφής, όλα τα δεδομένα από τον διακομιστή θα αρχειοθετηθούν αμέσως μετά τη συλλογή των δεδομένων.

Αλλά εάν θέλετε να αναλύσετε αυτά τα δεδομένα ή πρέπει να κάνετε κάποιες ενέργειες με βάση συγκεκριμένες πληροφορίες καταγραφής, θα χρειαστείτε μια βιβλιοθήκη καταγραφής για την ανάλυση των δεδομένων καταγραφής πριν αρχειοθετηθούν.

Λόγω της ευπάθειας Log4j, οποιοδήποτε σύστημα ή εφαρμογή που χρησιμοποιεί Log4j γίνεται ευάλωτο σε κυβερνοεπιθέσεις. Η βιβλιοθήκη καταγραφής εκτελεί κώδικα με βάση την είσοδο. Ένας χάκερ μπορεί να αναγκάσει τη βιβλιοθήκη αρχείων καταγραφής να εκτελέσει επιβλαβή κώδικα, καθώς η ευπάθεια θα τους επιτρέψει να χειριστούν την είσοδο.

Εν τω μεταξύ, πολλά πράγματα συμβαίνουν στο παρασκήνιο. Όταν το Log4j μεταβιβαστεί σε μια ειδικά κατασκευασμένη συμβολοσειρά, θα καλέσει έναν διακομιστή LDP και θα πραγματοποιήσει λήψη αυτού του κώδικα που φιλοξενείται στον κατάλογό του για να εκτελέσει τον κώδικα. Με αυτόν τον τρόπο, οι εισβολείς μπορούν να δημιουργήσουν έναν διακομιστή LDAP για την αποθήκευση κακόβουλου κώδικα που μπορεί να τους βοηθήσει να ελέγξουν οποιονδήποτε διακομιστή όπου εκτελείται ο κώδικας. Στη συνέχεια, θα στείλει μια συμβολοσειρά που κατευθύνει τον κακόβουλο κώδικά τους σε μια στοχευμένη εφαρμογή ή σύστημα και θα πάρει τον πλήρη έλεγχο του.

Έτσι, μπορεί να γίνει εκμετάλλευση της ευπάθειας Log4j:

  • Ένας εισβολέας βρίσκει έναν διακομιστή με μια ευάλωτη έκδοση Log4j.
  • Θα στείλουν στον στοχευμένο διακομιστή ένα αίτημα λήψης με τον σύνδεσμο του κακόβουλου διακομιστή LDAP.
  • Ο στοχευμένος διακομιστής, αντί να επαληθεύσει το αίτημα, θα συνδεθεί απευθείας σε αυτόν τον διακομιστή LDAP.
  • Οι εισβολείς θα στείλουν τώρα στον στοχευμένο διακομιστή μια απάντηση διακομιστή LDAP που περιέχει κακόβουλο κώδικα. Λόγω της ευπάθειας του Log4j, που επιτρέπει τη λήψη του κώδικα και την εκτέλεσή του χωρίς επαλήθευση, ο χάκερ μπορεί να αξιοποιήσει αυτήν την αδυναμία για να εισβάλει στον διακομιστή-στόχο και να εκμεταλλευτεί συνδεδεμένα συστήματα, δίκτυα και συσκευές.

Πώς μπορεί η ευπάθεια Log4j να βλάψει τους χρήστες;

Η ευπάθεια Log4j είναι ανησυχητική αφού χρησιμοποιείται σε ένα ευρύ φάσμα εφαρμογών λογισμικού και συστημάτων.

Δεδομένου ότι η καταγραφή είναι ένα βασικό χαρακτηριστικό στις περισσότερες εφαρμογές λογισμικού και το Log4j είναι μια κορυφαία λύση στον χώρο, το Log4j βρίσκει εφαρμογές σε μια ποικιλία συστημάτων λογισμικού.

Μερικές από τις δημοφιλείς υπηρεσίες και εφαρμογές που χρησιμοποιούν το Log4j είναι τα Minecraft, AWS, iCloud, Microsoft, Twitter, δρομολογητές Διαδικτύου, εργαλεία ανάπτυξης λογισμικού, εργαλεία ασφαλείας κ.λπ. Ως εκ τούτου, οι εισβολείς μπορούν να στοχεύσουν μεγάλο αριθμό εφαρμογών, υπηρεσιών και συστημάτων από οικιακούς χρήστες, προγραμματιστές κώδικα, παρόχους υπηρεσιών και άλλους σχετικούς επαγγελματίες και ιδιώτες.

Επιπλέον, η ευπάθεια Log4j είναι εξαιρετικά εύκολο να την εκμεταλλευτεί ένας εισβολέας. Η συνολική διαδικασία απαιτεί λιγότερα σετ δεξιοτήτων, όχι σε επίπεδο ειδικών, για να πραγματοποιηθεί μια επίθεση. Αυτός είναι ο λόγος για τον οποίο ο αριθμός των επιθέσεων που εκμεταλλεύονται αυτήν την ευπάθεια αυξάνεται.

Οι επιπτώσεις της ευπάθειας Log4j είναι:

  • Επιθέσεις DoS
  • Επιθέσεις εφοδιαστικής αλυσίδας
  • Εξόρυξη νομισμάτων
  • Ενέσεις κακόβουλου λογισμικού όπως ransomware και δούρειοι ίπποι
  • Αυθαίρετη ένεση κωδικού
  • Απομακρυσμένη εκτέλεση κώδικα

Κι αλλα.

Ως αποτέλεσμα αυτών των επιθέσεων, μπορείτε να χάσετε τις εφαρμογές, τα συστήματα και τις συσκευές σας και τα δεδομένα σας να πέσουν θύματα των εισβολέων που ενδέχεται να πουλήσουν τα δεδομένα σας, να τα χειραγωγήσουν ή να τα εκθέσουν στον έξω κόσμο. Ως εκ τούτου, η επιχείρησή σας μπορεί να ζημιωθεί όσον αφορά το απόρρητο των δεδομένων πελατών, την εμπιστοσύνη, τα μυστικά του οργανισμού, ακόμη και τις πωλήσεις και τα έσοδά σας, πόσο μάλλον τους κινδύνους συμμόρφωσης.

  Λάβετε ειδοποιήσεις για τηλεοπτικές εκπομπές, συναυλίες, παιχνίδια, βροχή και άλλα

Σύμφωνα με ρεπορτάζπάνω από το 40% των παγκόσμιων εταιρικών δικτύων έχουν υποστεί επιθέσεις λόγω αυτής της ευπάθειας.

Έτσι, ακόμα κι αν δεν χρησιμοποιείτε ευάλωτες εκδόσεις Log4j στις εφαρμογές σας, ενδέχεται να το χρησιμοποιούν οι ενσωματώσεις τρίτων, γεγονός που καθιστά την εφαρμογή σας ευάλωτη σε επιθέσεις.

Σημειώστε ότι όλες οι εκδόσεις Log4j πριν από το Log4j 2.17.0. επηρεάζονται· Ως εκ τούτου, πρέπει να αναβαθμίσετε το καταγραφικό εάν το χρησιμοποιείτε. Επίσης, διάσημοι προμηθευτές που επηρεάζονται από αυτήν την ευπάθεια Log4j είναι οι Adobe, AWS, IBM, Cisco, VMware, Okta, Fortinet κ.λπ. Εάν χρησιμοποιείτε κάποιο από αυτά, παρακολουθήστε τις εφαρμογές σας συνεχώς και χρησιμοποιήστε συστήματα ασφαλείας για να διορθώσετε προβλήματα αμέσως προκύπτει.

Πώς να εντοπίσετε προγράμματα που επηρεάζονται από το Log4j και να διορθώσετε τα προβλήματα

Η ευπάθεια Log4Shell έχει 10 στη βαθμολογία CVSS. Ως εκ τούτου, όλα τα ζητήματα στο Log4j δεν έχουν επιδιορθωθεί ακόμα. Αλλά είναι μια πιθανότητα εσείς ή ο τρίτος προμηθευτής σας να χρησιμοποιείτε το Log4j, το οποίο έχετε χρησιμοποιήσει στην εφαρμογή σας.

Επομένως, εάν θέλετε να προστατεύσετε τα δεδομένα, τα συστήματα και το δίκτυό σας, βεβαιωθείτε ότι ακολουθείτε ορισμένα βήματα αποκατάστασης.

#1. Ενημερώστε την έκδοση Log4j

Η ενημέρωση της τρέχουσας έκδοσης Log4j σε Log 4j 2.17.1 είναι η πιο αποτελεσματική τεχνική αποκατάστασης, εάν θέλετε να προστατεύσετε τη συσκευή και τις εφαρμογές σας από επιθέσεις ως αποτέλεσμα της ευπάθειας Log4j.

Το Log4Shell είναι ένας τύπος επίθεσης zero-day που μπορεί δυνητικά να επηρεάσει το οικοσύστημα λογισμικού σας. Ο Apache έχει διορθώσει ορισμένα από τα τρωτά σημεία σε πρόσφατες εκδόσεις, αλλά εάν το σύστημά σας είχε παραβιαστεί πριν από την αναβάθμιση, εξακολουθείτε να διατρέχετε κίνδυνο.

Ως εκ τούτου, υποθέτοντας αυτό, πρέπει όχι μόνο να αναβαθμίσετε την έκδοση αλλά και να ξεκινήσετε αμέσως τις διαδικασίες απόκρισης συμβάντων για να διασφαλίσετε ότι δεν υπάρχουν τρωτά σημεία στα συστήματα και τις εφαρμογές σας και να μειώσετε τις επιθέσεις. Πρέπει επίσης να ελέγξετε όλα τα αρχεία καταγραφής του διακομιστή σας για να βρείτε τους δείκτες συμβιβασμού (IOC) και να παρακολουθείτε συνεχώς τα συστήματα και το δίκτυό σας.

#2. Χρησιμοποιήστε τα πιο πρόσφατα τείχη προστασίας και συστήματα ασφαλείας

Τείχη προστασίας όπως το Τείχος προστασίας εφαρμογών Web (WAF) και τα τείχη προστασίας επόμενης γενιάς μπορούν να βοηθήσουν στην προστασία της περιμέτρου του δικτύου σας από εισβολείς σαρώνοντας εισερχόμενα και εξερχόμενα πακέτα δεδομένων και αποκλείοντας ύποπτα. Επομένως, χρησιμοποιήστε τα πιο πρόσφατα τείχη προστασίας στο δίκτυό σας και ορίστε αυστηρούς εξερχόμενους κανόνες στους διακομιστές σας για να αποτρέψετε επιθέσεις που σχετίζονται με την ευπάθεια Log4j.

Αν και οι εισβολείς μπορούν να παρακάμψουν τα τείχη προστασίας, θα εξακολουθείτε να έχετε κάποιο βαθμό ασφάλειας με τείχη προστασίας που μπορούν να εμποδίσουν τα αιτήματα ενός εισβολέα.

Επιπλέον, ενημερώστε όλα τα συστήματα ασφαλείας σας, όπως τα συστήματα ανίχνευσης εισβολών (IDS), τα συστήματα πρόληψης εισβολής (IPS) κ.λπ., με τις πιο πρόσφατες υπογραφές και κανόνες. Αυτά τα συστήματα θα βοηθήσουν στον αποκλεισμό ή στο φιλτράρισμα της κυκλοφορίας RMI και LDAP από τη σύνδεση σε έναν κακόβουλο διακομιστή LDAP.

#3. Εφαρμογή ΜΧΣ

Η ρύθμιση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) στις εφαρμογές και το σύστημά σας θα παρέχει καλύτερη ασφάλεια από τους εισβολείς. Θα παρέχει ένα δεύτερο επίπεδο ασφάλειας ακόμα κι αν ένας εισβολέας καταφέρει να σπάσει το πρώτο επίπεδο. Μπορείτε να το κάνετε μέσω βιομετρικών στοιχείων όπως δακτυλικά αποτυπώματα, σάρωση ίριδας κ.λπ., ορίζοντας μια ερώτηση ασφαλείας ή ενεργοποιώντας ένα PIN ασφαλείας.

Η χρήση του MFA θα αυξήσει τη δυσκολία και τον χρόνο των επιτιθέμενων να εκτελέσουν μια πλήρη επίθεση. Εν τω μεταξύ, μπορεί επίσης να σας ενημερώσει για το περιστατικό αμέσως, ώστε να μπορείτε να κάνετε τα απαραίτητα μέτρα αποκατάστασης όταν έχετε ακόμα χρόνο.

Επιπλέον, πρέπει επίσης να εφαρμόσετε αυστηρές πολιτικές VPN για να μειώσετε τις παραβιάσεις δεδομένων. Αυτό θα επιτρέψει στους χρήστες να έχουν πρόσβαση στα συστήματά σας με ασφάλεια από οπουδήποτε, χωρίς το φόβο των εισβολέων.

#4. Αλλαγή ιδιοτήτων συστήματος

Σε περίπτωση που δεν μπορείτε να κάνετε αναβάθμιση στην πιο πρόσφατη έκδοση της βιβλιοθήκης Log4j, πρέπει να αλλάξετε αμέσως τις ιδιότητες του συστήματος java εάν χρησιμοποιείτε μια έκδοση που κυμαίνεται από Log4j 2.10 έως Log4j 2.14.1.

Πρέπει να το ρυθμίσετε με τέτοιο τρόπο ώστε να αποτρέπονται οι αναζητήσεις που χρησιμοποιούν οι εισβολείς για να εντοπίσουν τα τρωτά σημεία και στη συνέχεια να βρουν τρόπους για να τα εκμεταλλευτούν.

  Πώς να απενεργοποιήσετε γρήγορα τις ενοχλητικές ειδοποιήσεις στο Apple Watch

#5. Καταργήστε το JNDI

Ο λόγος για αυτήν την κρίσιμη ευπάθεια ασφαλείας έγκειται στον σχεδιασμό του. Το πρόσθετο JNDI Lookup έχει ένα ελάττωμα σχεδιασμού μέσω του οποίου οι εισβολείς μπορούν να εκτελέσουν μια επίθεση.

Το JNDI χρησιμοποιείται για την εκτέλεση κώδικα με βάση τα δεδομένα εισόδου στο αρχείο καταγραφής του, τα οποία ο καθένας μπορεί να χειριστεί εύκολα, καθώς ο καταγραφέας αποδέχεται οποιοδήποτε αίτημα χωρίς επαλήθευση.

Οι ερευνητές ασφαλείας ανακάλυψαν ότι αυτό το πρόσθετο επέτρεπε πάντα μη αναλυμένα δεδομένα από τότε που κυκλοφόρησε το 2013 και τα στέλνει στη βιβλιοθήκη Log4j.

Επομένως, η ευπάθεια Log4j είναι επιρρεπής σε εκμετάλλευση με μια απλή έγχυση συμβολοσειράς. Μόλις ο εισβολέας την εγχύσει, ο καταγραφέας θα αποδεχτεί τη λειτουργία που ζητήθηκε στη συμβολοσειρά και θα την εκτελέσει αμέσως χωρίς επαλήθευση.

Επομένως, εάν θέλετε να ασφαλίσετε τα συστήματα και την εφαρμογή σας, πρέπει να απενεργοποιήσετε την κλάση – JndiLookup. Αυτό θα αποτρέψει το καταγραφικό από το να προβεί σε ενέργειες βάσει δεδομένων καταγραφής.

Στην πραγματικότητα, η αναζήτηση JNDI είναι ήδη απενεργοποιημένη στο Log4j 2.16.0 από προεπιλογή σε μια προσπάθεια να ασφαλίσετε τις εφαρμογές και τα συστήματά σας.

Επομένως, εάν χρησιμοποιείτε μια έκδοση Log4j χαμηλότερη από την 2.16.0, βεβαιωθείτε ότι έχετε απενεργοποιήσει την αναζήτηση JNDI.

#6. Μιλήστε με τους Πωλητές σας

Εάν τα έχετε όλα σωστά, τα τείχη προστασίας και τα συστήματα ασφαλείας σας ενημερωμένα, η έκδοση Log4j ενημερωμένη, η αναζήτηση JNDI απενεργοποιημένη κ.λπ., μην χαλαρώσετε ακόμα.

Ακόμα κι αν δεν χρησιμοποιείτε μια ευάλωτη έκδοση Log4j στις εφαρμογές σας, ενδέχεται να τη χρησιμοποιούν οι τρίτοι προμηθευτές σας. Έτσι, δεν θα μάθετε ποτέ πώς παραβιάστηκε η εφαρμογή ή το σύστημά σας, επειδή το πραγματικό πρόβλημα ήταν με την ενσωμάτωση τρίτων.

Επομένως, μιλήστε με τους προμηθευτές σας και βεβαιωθείτε ότι και αυτοί έχουν αναβαθμίσει το Log4j στην πιο πρόσφατη έκδοση και έχουν εφαρμόσει άλλες πρακτικές ασφαλείας που συζητήθηκαν παραπάνω.

#7. Χρησιμοποιήστε έναν σαρωτή ευπάθειας Log4j

Υπάρχουν πολλά εργαλεία σάρωσης ευπάθειας Log4j διαθέσιμα στην αγορά για να σας διευκολύνουν να εντοπίσετε ευπάθειες Log4j στα συστήματα και τις εφαρμογές σας.

Έτσι, όταν ψάχνετε για αυτά τα εργαλεία, ελέγξτε τα ποσοστά ακρίβειάς τους, καθώς πολλά από αυτά παράγουν ψευδώς θετικά αποτελέσματα. Επίσης, βρείτε ένα εργαλείο που μπορεί να καλύψει τις ανάγκες σας, επειδή μπορεί να επικεντρωθεί στον εντοπισμό ευπάθειας Log4j, στην αναφορά της έκθεσης και στην αποκατάσταση της ευπάθειας.

Επομένως, εάν η εστίασή σας είναι ο εντοπισμός, βρείτε έναν σαρωτή ευπάθειας Log4j που μπορεί να εντοπίσει το πρόβλημα ή χρησιμοποιήστε αυτόν που μπορεί να εντοπίσει και να διορθώσει το πρόβλημα.

Μερικά από τα καλύτερα εργαλεία σάρωσης Log4j είναι:

  • Microsoft 365 Defender: Η Microsoft προσφέρει μια σειρά από λύσεις και εργαλεία ασφαλείας για να σας βοηθήσει να εντοπίσετε και να αποτρέψετε τις εκμεταλλεύσεις Log4j στο δίκτυό σας. Θα μπορείτε να εντοπίσετε απομακρυσμένες προσπάθειες εκτέλεσης κώδικα και εκμετάλλευσης, προστατεύοντάς σας από ευπάθειες Log4j σε συσκευές Windows και Linux.
  • Amazon Inspector και AWS: Η Amazon δημιούργησε ένα εργαλείο σάρωσης για την εύρεση ευπάθειας Log4j σε περιπτώσεις Amazon EC2 και Amazon ECR.
  • Εργαλείο σάρωσης αρχείου CloudStrike (CAST): Το CloudStrike έχει δημιουργήσει επίσης ένα εξαιρετικό εργαλείο σάρωσης για τον εντοπισμό ευπάθειας Log4j για να σας βοηθήσει να διορθώσετε τα προβλήματα εγκαίρως προτού οι εισβολείς μπορέσουν να το εκμεταλλευτούν.
  • Ανίχνευση καταγραφής Google Cloud: Η λύση ανίχνευσης καταγραφής σύννεφων της Google σάς επιτρέπει να εντοπίζετε εκμεταλλεύσεις Log4j χρησιμοποιώντας την Εξερεύνηση αρχείων καταγραφής. Μπορείτε να δημιουργήσετε ένα ερώτημα καταγραφής σε αυτό το εργαλείο και να σαρώσετε για πιθανές συμβολοσειρές εκμετάλλευσης.
  • Η Google έχει επίσης δημιουργήσει το log4jscanner, έναν σαρωτή συστήματος αρχείων ανοιχτού κώδικα για τον εντοπισμό ευπάθειας Log4j.
  • BurpSuite Log4j Scanner: Αυτό είναι ένα πρόσθετο ασφαλείας για επαγγελματίες και επιχειρήσεις για να τους βοηθήσει να εντοπίσουν την ευπάθεια Log4j.
  • Huntress Log4Shell Vulnerability Tester: Αυτό το εργαλείο δημιουργεί ένα μοναδικό αναγνωριστικό τυχαία το οποίο μπορείτε να χρησιμοποιήσετε κατά τη δοκιμή των πεδίων εισαγωγής σας. Μόλις εντοπίσει μια ευπάθεια στην εφαρμογή ή στο πεδίο εισαγωγής, ο ασφαλής διακομιστής LDAP του θα τερματίσει τη κακόβουλη σύνδεση αμέσως και θα σας κρατήσει ασφαλείς.
  • WhiteSource Log4j Detect: Η WhiteSource δημιούργησε ένα δωρεάν εργαλείο CLI, το WhiteSource Log4j Detect, που φιλοξενείται στο GitHub για να σας βοηθήσει να εντοπίσετε και να διορθώσετε ευπάθειες Log4j – CVE-2021-445046 και CVE-2021-44228.
  • Εργαλεία σάρωσης ανοιχτού κώδικα JFrog για το Log4j: Η JFrog έχει δημιουργήσει διάφορες λύσεις και εργαλεία ανοιχτού κώδικα για να βρει ευπάθειες Log4j στα δυαδικά αρχεία και στον πηγαίο κώδικα.

συμπέρασμα

Η ευπάθεια Log4j είναι ένα κρίσιμο ζήτημα ασφάλειας. Δεδομένου ότι αυτή η βιβλιοθήκη καταγραφής χρησιμοποιείται ευρέως σε διάφορες εφαρμογές και συστήματα, η ευπάθεια Log4j έχει γίνει ευρέως διαδεδομένη, επιτρέποντας στους εισβολείς να εκμεταλλεύονται ένα ευρύ φάσμα συστημάτων και εφαρμογών.

Επομένως, εάν θέλετε να προστατέψετε τα συστήματα και τις εφαρμογές σας από αυτήν την ευπάθεια, φροντίστε να αναβαθμίσετε τη βιβλιοθήκη Log4j στην πιο πρόσφατη έκδοση και να εφαρμόσετε τις βέλτιστες πρακτικές ασφαλείας που συζητήθηκαν παραπάνω.