Sunucu odanızdan bayram tostları yerine çığlıklar ve iniltiler duyuyor musunuz? BT personeliniz Amazon Web Services (AWS) çalışırken bile teselli edilemez bir şekilde hıçkıra hıçkıra ağlıyor mu? Ofise gittiğinizde uyku sistemi yöneticilerini ve geliştiricilerini gözden geçiriyor musunuz?
Bu size oluyorsa, neler olduğunu açıklamama izin verin. BT çalışanlarınız — bir çok güzelsin BT çalışanlarının oranı – Log4j2itis’ten muzdarip.
Genel haber kaynakları bile bunun kötü haber olduğunu anladığı için, son birkaç hafta içinde bununla ilgili bazı genel haberler görmüş olabilirsiniz. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) direktörü Jen Easterly’nin dediği gibi: Log4j güvenlik açığı en ciddi güvenlik açığıdır Onlarca yıllık kariyerimde gördüm.”
Ben ondan daha uzun süredir bu işteyim ve asla çok mütevazi değilim Twitter görüşü“#Log4Shell abartısız en kötü BT olabilir #güvenlik bizim neslin sorunu.”
Bu gerçekten korkutucu geliyor çünkü gerçekten korkutucu. Ama tam olarak nedir? Hikayenin başlığınızda “güvenlik”, “sistem yöneticisi” veya “geliştirici” gibi kelimelerin olmasını gerektiren tarafı için, Yeni Yığın yazımda çirkin ayrıntılara sahibim: “Log4Shell: Çok Zorda Kaldık“
Sıradan bir ölümlüyseniz, neler olup bittiği ve bunun neden bu kadar büyük bir acıyla başa çıkılacağı aşağıda açıklanmıştır.
Apache Log4j2 son derece popüler bir açık kaynaklı Java günlük kitaplığıdır. Java programınız, kullanıcının adından yardım için başka bir programı kaç kez çağırdığına kadar hemen hemen her şeyi günlüğe kaydediyorsa, işi yapmak için Log4J2 kullanma ihtimali vardır.
Bu iyiydi. Harikaydı. Herkes mutluydu. Ancak birkaç hafta önce güvenlik araştırmacıları, bir satır kötü amaçlı kod kaydetmesini sağlayabilirseniz kötü şeyler olacağını keşfetti. Ne kadar kötü? “mükemmel” bir özelliği var Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) 10 üzerinden 10 puan. Olabilecek en kötü güvenlik açığı.
Programlarınızdan herhangi biri, Logj42’nin güvenlik açığı bulunan bir sürümünü içeriyorsa, uzaktan kod yürütme kusuru saldırısıyla patlatılabilir. Başarılı olursa, bir saldırgan şuradan her şeyi yapabilir: sunucularınızda Doom oynamak (ciddi olarak) ağınızdaki her kutuya Mirai botnet’i bulaştırmak ve sizi fidye yazılımıyla zorlamak. Oh ve devlet destekli bilgisayar korsanları artık Log4j güvenlik açığını da kullanıyor. sadece sor Saldırıdan hala iyileşmekte olan Belçika Savunma Bakanlığı sadece geçen hafta.
Bu programlar neler olabilir? İyi soru. Yaygın olarak kullanılan binlerce ticari programa saldırılabilir. Bunlar arasında Apple iCloud; sayısız Cisco programı; Minecraft istemcisi ve sunucusu; Buhar; Twitter; ve birçok VMware programı.
Ve ekibiniz veya bağımsız yazılım satıcıları (ISV) programlarınızı Apache Druid, Dubbo, Flink, Flume, Hadoop, Kafka, Solr, Spark ve Struts gibi yazılım bileşenleriyle yazdıysa, bunlar da saldırıya açık olabilir. Bu sadece vermeye ve vermeye devam eden bir güvenlik açığıdır.
İyi haber şu ki, Log4j2 güvenlik açıkları için bir düzeltme var, aslında üç düzeltme. Kısa versiyon, bu sorunlu yazılım kitaplığının her kopyasını şu şekilde güncellerseniz: log4j 2.17.0, her şey iyi olacak.
Evet, ovmak var. Güncellemelisin Her bunlardan sonuncusu. Ve işte o kadar da iyi olmayan kısım. Log4j milyonlarca programda gizlidir. olmadan yazılım malzeme listesi (SBOM) her uygulama için hepsini bulacağınızdan emin olamazsınız. Ve SBOM yeni bir kavramdır. Yedi yıl önce Logj42 ilk piyasaya çıktığında, geçen yıl kimse onları yapmıyordu.
Bu yüzden onları aramalısın. Ve Java programları, kodlarını Java arşiv dosyaları (JAR) gibi Rus yuvalama bebek yapılarında sakladığından, yama gerektiren bir programı bulmak gerçekten acı verici olabilir. CISA gibi araçlar var CVE-2021-44228_tarayıcı, bu güvenlik ve geliştirme ekibiniz için hayatı kolaylaştırır, ancak yine de çok iş gerektirir.
2014’ten beri CEO’nuza belgelerde yaptığınız her referansı, kullanımı kolay metin arama araçları olmadan bulmanızı isteyen birini hayal edin. Bir kabus olurdu, değil mi? Şimdi, onu bulamazsanız, şirketinizin BT altyapısının korkunç bir karmaşaya dönüşeceğini hayal edin.
Bu nedenle, BT personelinize karşı nazik olun. Yılbaşı gecesi bir kadeh şampanya içmek yerine, muhtemelen hala bu pisliği takip ediyor ve temizliyorlar. Bu hızlı bir şekilde bitmeyecek ve her şey bitmeden önce savuşturulması gereken daha birçok ilgili saldırı olacak.
Mutlu yıllar?
Telif Hakkı © 2021 IDG Communications, Inc.