Вы слышите крики и стоны из серверной вместо праздничных тостов? Ваши ИТ-специалисты безутешно рыдают, даже когда Amazon Web Services (AWS) работает? Вы ходите по спящим системным администраторам и разработчикам, когда приходите в офис?
Если это происходит с вами, позвольте мне объяснить, что происходит. Ваши ИТ-специалисты — множество ИТ-специалистов — страдают от Log4j2itis.
Возможно, вы видели некоторые общие новости об этом за последние пару недель, так как даже общие источники новостей выбирают вверх, что это плохие новости. Как сказала Джен Истерли, директор Агентства по кибербезопасности и безопасности инфраструктуры США (CISA): «Уязвимость Log4j — самая серьезная уязвимость, которую я видел за свою многолетнюю карьеру».
Я был на это дольше, чем у нее, и, по моему никогда не очень скромному мнению Твиттера, "# Log4Shell может, без преувеличения, быть наихудшей проблемой # безопасности ИТ в нашем поколении".
Звучит очень страшно, потому что это действительно страшно. Но что это такое? Что касается той части истории, которая требует, чтобы в заголовке были такие слова, как «безопасность», «системный администратор» или «разработчик», у меня есть уродливые подробности в моем сообщении о новом стеке: «Log4Shell: мы в таком Много проблем ».
Если вы обычный смертный, вот что происходит и почему это такая большая проблема.
Это было нормально. Это был денди. Все были счастливы. Но затем несколько недель назад следователи по безопасности обнаружили, что если вы можете заставить его регистрировать строку вредоносного кода, произойдут неприятные вещи. Как плохо? Он имеет «идеальную» оценку общей системы оценки уязвимостей (CVSS) 10 из 10. Это настолько серьезная уязвимость системы безопасности, насколько это вообще возможно.
Если какая-либо из ваших программ содержит уязвимую версию Logj42, они могут быть взорваны атакой с удаленным выполнением кода. В случае успеха злоумышленник может сделать что угодно: от игры в Doom на ваших серверах (серьезно) до заражения каждого компьютера в вашей сети ботнетом Mirai до защиты вас от программ-вымогателей. Да, и спонсируемые государством хакеры теперь также используют уязвимость Log4j. Просто спросите министерство обороны Бельгии, которое все еще оправлялось от атаки на прошлой неделе.
Что это могут быть за программы? Хороший вопрос. Тысячи широко используемых коммерческих программ подвержены атакам. К ним относятся Apple iCloud; многочисленные программы Cisco; Клиент и сервер Майнкрафт; Стим; Twitter; и многие программы VMware.
И, если ваша команда или независимые поставщики программного обеспечения (ISV) написали ваши программы с такими программными компонентами, как Apache Druid, Dubbo, Flink, Flume, Hadoop, Kafka, Solr, Spark и Struts , они тоже могут быть открыты для атаки. Это дыра в безопасности, которая постоянно дает и дает.
Хорошая новость в том, что есть исправление, на самом деле три исправления, для уязвимостей Log4j2. Коротко говоря, если вы обновите каждую копию этой проблемной библиотеки программного обеспечения до log4j 2.17.0, все будет хорошо.
Да, вот в чем проблема. Вы должны обновлять каждый последний из них. И вот что действительно не очень хорошее. Log4j скрыт в миллионах программ. Без ведомости материалов (SBOM) для каждого приложения вы не можете быть уверены, что найдете их все. А SBOM — это новая концепция. Никто не делал их в прошлом году, не говоря уже о семи годах назад, когда был впервые выпущен Logj42.
Так что вы должны искать их. И поскольку программы Java скрывают свой код в структурах русской матрешки, таких как файлы архивов Java (JAR), поиск единственной программы, требующей исправления, может быть настоящей проблемой. Есть инструменты, такие как CISA CVE-2021-44228_scanner, которые облегчают жизнь вашей команде безопасности и разработки, но это все еще требует много работы.
Представьте, что кто-то попросил вас найти все ссылки, которые вы когда-либо делали. в документах для генерального директора с 2014 года… без простых в использовании инструментов текстового поиска. Это был бы кошмар, правда? А теперь представьте, что, если вы его не обнаружите, ИТ-инфраструктура вашей компании превратится в ужасный беспорядок.
Так что будьте добры к своим ИТ-сотрудникам. Вместо того, чтобы выпить бокал шампанского в канун Нового года, они, вероятно, по-прежнему будут выслеживать и убирать этот беспорядок. Это не закончится быстро, и придется отразить еще много связанных атак, прежде чем все будет готово.
С Новым годом?
Авторские права © 2021 IDG Communications, Inc.