Chanzo: www.hackerone.com – Mwandishi: Hackerone. Sasisho la Desemba 17: Udhaifu katika LOG4J umekuwa ukitokea kwa kipindi cha wiki hii tangu kufichuliwa kwa asili kwa CVE-2021-44228, pia inajulikana kama Log4Shell. Sasa kuna hatari ya pili muhimu katika LOG4J, ambayo itahitaji juhudi za ziada za kupunguza. Kwa bahati mbaya, kiraka kilichotolewa kurekebisha log4shell hakijakamilika, na CVE-2021-45046 iligunduliwa katika toleo la 2.15.0. Hatari hii ya pili ilipewa kiwango cha chini cha ukali, lakini timu ya usalama ya Apache imeiboresha kuwa muhimu na alama ya msingi ya 9.0 CVSS. Tunapendekeza kusasisha kwa toleo la LOG4J 2.16.0 kurekebisha udhaifu wote. Ugunduzi wa udhaifu huu wa pili umeangazia ugumu wa kujibu udhaifu mkubwa na mkubwa. Rasilimali zako za usalama wa ndani zinafanya kazi karibu na saa kupata mahali ulipo katika mazingira magumu, lakini kila wakati kuna hatari ya kukosa kitu. Hii ni fursa nzuri ya kuongeza jamii ya wahusika wa maadili. Tunapenda kushiriki mwongozo fulani juu ya jinsi ya kuongeza thamani ya fadhila yako ya mdudu na mipango ya kufichua hatari. Mwongozo huu unatumika kwa mtu yeyote anayeendesha programu hizi, sio wateja wa Hackerone tu. Ongeza udhaifu wa log4j kwa wigo wa mpango wako wa fadhila ya mdudu. Toa ongezeko kubwa au mafao ya udhaifu wa LOG4J. Kutoa motisha za ziada za kuchunguza na kuwasilisha kwa programu yako ni muhimu bila kujali ni wapi majibu yako ya ndani ni. Kwa mashirika ambayo yanaamini kuwa tayari yamesamehewa, kutoa motisha hii ya ziada inaweza kufunua matangazo ya kipofu katika majibu yako ya ndani. Mashirika ambayo bado yanachunguza yanaweza pia kufaidika kwa kuweza kurekebisha haraka – ambayo ni muhimu sana kama idadi ya mashambulio, na kwa hivyo hatari ya maelewano, inaendelea kuongezeka. Tuma sasisho kwa ukurasa wako wa sera ya Hackerone. Kwa kuzingatia idadi ya tovuti ambazo zinaweza kuwa hatari, watekaji wanataka kujua ni wapi wanapaswa kuzingatia juhudi zao. Fanya iwe rahisi kwa kutuma sasisho kuangazia bouti zako za ziada, hali ya juhudi zako za kurekebisha, na upendeleo wowote ambao unaweza kuwa nao juu ya data ya ripoti. Hata kama hautakubali ripoti zozote za LOG4J, ambazo hatupendekezi kwa wakati huu, bado ni muhimu kushiriki hiyo. Wakati VDPs haitoi malipo, bado unaweza kutoa sasisho ili jamii ijue ikiwa unakubali ripoti kwenye LOG4J. Wakati uwasilishaji mwingi umekuwa kwa mipango ya fadhila ya bug, tumeona ripoti karibu 100 kwa VDPs za wateja wetu. Sasisho la Desemba 16: Tumeendelea kuona majibu ya Log4shell kwenye jukwaa letu. Jibu la mara moja la mtandao wetu wa maadili ya wahusika limesaidia wateja wetu kujibu haraka, na kuwasilisha mamia ya ripoti ndani ya masaa 24 ya kufichua umma juu ya udhaifu huu. Dirisha la majibu ya haraka ni ya thamani sana. CloudFlare – WHO inawaruhusu kufuatilia idadi kubwa ya trafiki ya mtandao wa ulimwengu – imeshiriki kwamba majaribio ya unyonyaji yanafikia viwango vipya. Takwimu hiyo inatuambia hatari ya kushambulia bado inaongezeka na bado haijafikia. Kila mtu, washambuliaji na watetezi wote, aliarifiwa juu ya udhaifu huu wakati huo huo. Wakati timu za usalama zinafanya kazi karibu na saa kurekebisha, washambuliaji pia wamekuwa busy. Sasa tuko siku 6 kutoka kwa kufichua Log4Shell ambayo imewapa washambuliaji wakati wa kujizoea na hatari hii, kukuza unyonyaji, na kushiriki maarifa. Mashirika ambayo yalisonga haraka na yanaendelea vizuri na, au tayari yamekamilisha kusamehewa kwao, yamejilinda wakati wa dirisha ndogo sana na muhimu ambapo washambuliaji walikuwa bado wanaendeleza unyonyaji mzuri na kuongeza kiwango cha shambulio. Tunaendelea kuona uwasilishaji unakuja kwenye jukwaa letu. Wateja wa Hackerone sasa wamepokea ripoti 1350 jumla. Uwasilishaji wa kila siku uko juu kidogo kutoka jana, lakini bado uko chini ya kilele chao mnamo Desemba 11. Ripoti sabini na tano zimethibitishwa na kukabidhiwa, kwa jumla ya $ 142,250 katika malipo ya udhaifu unaohusiana na Log4Shell (wastani wa $ 1,896). Idadi kubwa ya ripoti bado zinapatikana na timu za usalama. Ripoti ya Hackerone ya uwasilishaji wa mazingira magumu ya Log4Shell – Imesasishwa kila siku Desemba 15 Sasisho: Hackerone ameona njia mbali mbali kutoka kwa wateja wanaotumia mipango yao ya fadhila ya bug kushughulikia udhaifu wa LOG4J. Wateja wengine, kama Coinbase (iliyoonyeshwa hapa chini) wanachochea jamii kupata udhaifu wa LOG4J na malipo ya fadhila ya bonasi ya $ 30,000 kwa ripoti zilizothibitishwa. Wengine wamewasiliana kupitia kurasa zao za programu kwamba wamekamilisha majibu yao ya awali kwa kutumia skanning, usimamizi wa logi na zana zingine na wako tayari kulipia udhaifu wa LOG4J. Bado wengine wanauliza kwa siku 30 kabla ripoti hazijashughulikiwa, labda kuwapa wakati wa kukamilisha majibu yao ya awali. Tutafuatilia kwa karibu mifumo hii na kurudi na matokeo yoyote katika suala la ufanisi ambao tunaweza uso. Pia ya kumbuka, tumeona watapeli wa kibinafsi 417 wanawasilisha ripoti. Tunaona pia ripoti kupitia Programu za Ufichuaji wa Vizuizi (VDPs). Habari zaidi juu ya uwasilishaji huo na jinsi zinavyolinganisha zitatumwa katika siku zijazo. Kwa jumla, karibu ripoti 1200 zimewasilishwa. Sasisho la Desemba 14: Wateja kadhaa wa Hackerone walizindua mipango maalum ya LOG4J kwa watekaji wanaofanya kazi au wanataka kuanza uwindaji wa mdudu katika mipango yao ya fadhila. Ni pamoja na Glassdoor na Hyatt, kati ya zingine. Tazama hapa chini kwa habari zaidi: Glassdoor-Glassdoor ameweka maombi mengi ya Log4J iliyo hatarini (CVE-2021-44228) mwishoni mwa wiki. Ukitokea kupata miisho yoyote ambayo iko katika hatari ya Log4Shell (CVE-2021-44228) Tafadhali iripoti kwetu tutalipa mara mbili fadhila yetu muhimu hadi $ 5,000. Ugunduzi katika mfumo wa pingbacks ambao ni pamoja na habari ya mwenyeji kama vile jina la mwenyeji au IP inakubalika na inafaa. Tafadhali shiriki IP yako wakati unapata Pingback kwa sisi kugundua ripoti zako haraka. Kwa watafiti wanaovutiwa na mpango huu, nenda kwa https://hackerone.com/glassdoor. Hyatt-tunaamini tumechukua hatua za kutosha kulinda mazingira yetu ya nje-uhakikisho wa nambari, udhibiti wa upelelezi, na udhibiti wa kinga-kutoka kwa hatari iliyogunduliwa hivi karibuni katika maktaba ya Log4J. Tunataka kuhakikisha kuwa tunachukua tahadhari zote kulinda wageni wetu na wenzako, hata hivyo, wiki hii-kumalizika Jumapili, Desemba 20, tunaunda jamii muhimu kwa utekelezaji wa nambari ya mbali ya CVE-2021-44228 kwa yoyote ya ndani- Mali ya wigo. Malipo ya kitengo hiki itakuwa dola 25,000 za Amerika. Kama kawaida, asante kwa michango yako muhimu kwa usalama wa wageni wetu na wenzako. Uwindaji wa furaha! Kwa watafiti wanaovutiwa na mpango huu nenda kwa https://hackerone.com/hyatt. Chapisho la Asili: Uhamasishaji mpya wa siku ya usalama wa siku ya usalama katika maktaba ya ukataji wa Java Apache Log4J ni rahisi kutumia na inawawezesha washambuliaji kupata udhibiti kamili wa seva zilizoathirika. Kufuatiliwa kama CVE-2021-44228, udhaifu huo umeainishwa kuwa kali, ikiruhusu utekelezaji wa nambari ya mbali. Inanyanyaswa kikamilifu kote ulimwenguni, na cyberattacks kwa kutumia LOG4J inaendelea kukua kila siku. Udhaifu huo uliripotiwa na Chen Zhaojun wa Timu ya Usalama ya Cloud ya Alibaba na kufunuliwa na Apache Software Foundation mnamo Desemba 9. Maelezo ya kiufundi ya LOG4J ya udhaifu wa log4j (CVE-2021-44228) husababisha kwa sababu ujumbe wa logi ulitafsiriwa kama lugha maalum, na moja ya uwezo wa lugha hiyo ni kutekeleza madarasa ya kiholela ya Java. Matokeo yake ni hatari ya utekelezaji wa nambari ya mbali (RCE). Alama ya CVSS ndio inayowezekana zaidi, 10.0. Ili kurekebisha hatari hii, mashirika lazima yasasishe hali zote zilizoathiriwa za LOG4J kwa toleo la 2.15.0. Hackerone inapendekeza kwamba wateja wetu wafikirie sasisho la toleo kwa wakati huu. Ushauri rasmi wa usalama wa Apache, pamoja na habari iliyosasishwa, inaweza kupatikana hapa. Kile ambacho Hackerone amefanya Hackerone ya ndani iligundua huduma kadhaa za ndani zisizo za uzalishaji ambazo tunaendesha kama usanifu wa hali ya juu ambao uliathiriwa na LOG4J. Mara moja tukaweka mahali pa kuwekewa mahali na kuzifanya wakati sasisho za maktaba zilitolewa. Tunaamini tumerekebishwa kikamilifu na tunaendelea kuendelea kuwa macho na macho. Kwa kuongezea, kupitia mpango wetu wa fadhila ya bug, tumetangaza fadhila kubwa kwa unyonyaji wowote wa mazingira magumu dhidi ya Hackerone. Kile ambacho Hackerone anaona na wateja tangu udhaifu wa LOG4J uliripotiwa kwanza mnamo Desemba 9, Hackerone amepokea uwasilishaji kadhaa wa wateja wa udhaifu wa LOG4J uliopatikana. Nambari hizi mbichi zinaweza kuwa kubwa kuliko idadi ya matukio ya hatari. Tazama hapa chini kwa picha ya uwasilishaji wa LOG4J siku. Grafu hii inasasishwa kila siku. Imesasishwa Ripoti ya kila siku ya Hackerone ya uwasilishaji wa udhabiti wa Log4J kwa Desemba 13 Hackerone Log4J Uwasilishaji wa Udhaifu – Desemba 13 Ripoti ya Hackerone ya Uwasilishaji wa Uhakiki wa Uhakiki wa Desemba 13 – Desemba 13 Hackerone itaendelea kufuatilia hatari ya LOG4J na athari zake kwenye tasnia na wateja wetu. Tutachapisha sasisho mara kwa mara kuhusu tukio hili muhimu la cybersecurity. URL ya asili ya asili: https://www.hackerone.com/blog/log4j-vulnerability-activity-hackerone-platform
Leave a Reply