نماد سایت اتاق خبر شبکه گستر

کابوس جدید سازمان‌ها؛ ضعف امنیتی روز-صفر در کتابخانه Log4j

اخیراً محققان یک ضعف امنیتی روز-صفر را در کتابخانه Log4j کشف کرده‌اند که به مهاجمان اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم را برای آ‌ن‌ها فراهم می‌کند.

یک نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) از ضعف امنیتی مذکور نیز که مربوط به کتابخانه مبتنی بر Javaو(Log4j) سرورهای آپاچی می‌باشد، در حال حاضر به صورت آنلاین منتشر و به اشتراک گذاشته شده است. آسیب‌پذیری مذکور، حملاتی از نوع RCE (اجرای کد از راه دور) را برای مهاجمان فراهم می‌کند که کاربران خانگی و سازمان‌ها را در معرض خطر قرار می‌دهد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، این آسیب‌پذیری مورد بررسی قرار گرفته است.

Log4j توسط بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) توسعه یافته است و به طور گسترده در برنامه‌های کاربردی سازمانی و سرویس‌های ابری مورد استفاده قرار گرفته است. ضعف امنیتی موجود در این کتابخانه که اخیراً منتشر شده، Log4Shell یا LogJam نامیده شده و دارای شناسه CVE-2021-44228 می‌باشد. درجه شدت آسیب‌پذیری مذکور 10 از 10 (بر طبق استاندارد CVSS) و با درجه اهمیت “حیاتی” (Critical) گزارش شده است.

باگ مذکور به مهاجمان اجازه می‌دهد تا اسکریپت‌ها را روی سرورهای موردنظر دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم را برای مهاجمان در سیستم‌های آسیب‌پذیر دارای Log4j 2.0-beta9 تا 2/14/1 فراهم می‌کند. لازم به ذکر است که سوءاستفاده از ضعف امنیتی مذکور نیازی به احراز هویت ندارد و برای اجرای آن نیازی به تخصص فنی سطح بالا نیست.

Log4j فقط یک کتابخانه در Java نیست، همانطور که در نشانی زیر به آن اشاره شده، این کتابخانه در بسیاری از سرویس‌ها و سرورها تعبیه شده است. بخش قابل توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و محصولات اپل، آمازون، کلودفلر، توییتر، استیم، انواع مختلف سرورهای آپاچی و الستیک سرچ احتمالاً در برابر سوء‌استفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، آسیب‌پذیر هستند.

https://github.com/YfryTchsGD/Log4jAttackSurface

سازمان‌ها و شرکت‌های امنیتی مختلف هشدار داده‌اند که مهاجمان در حال تلاش برای پویش اینترنت، جستجوی اهداف آسیب‌پذیر و آلوده نمودن سرویس‌های مختلف وب می‌باشند. تعداد کل پویش‌ها با استفاده از Log4Shell در یک روز سه برابر افزایش یافته است. در حالی که اکثر پویش‌ها هدف خاصی ندارند، به نظر می‌رسد حدود 20 درصد از تلاش‌ها برای جستجوی سرویس‌های آسیب‌پذیر Apache Solr هستند.

شرکت بیت‌دیفندر نیز در نشانی زیر با استناد به ترافیک ایجاد شده در سرویس‌های Honeypot این شرکت و به دلیل سهولت بهره‌برداری و گستردگی کاربرد کتابخانه Log4j در سرورها و نرم‌افزارها هشدار داده که مهاجمان از آسیب‌پذیری و گستردگی کتابخانه اطلاع دارند و احتمالاً شاهد شروع کارزاری بسیار طولانی هستیم.

https://www.bitdefender.com/blog/labs/bitdefender-honeypots-signal-active-log4shell-0-day-attacks-underway-patch-immediately/

با این حال تخمین اثرات مخرب ضعف امنیتی Log4Shell بسیار دشوار است زیرا با توجه به پیشینه وصله‌ها (حتی برای آسیب‌پذیری‌های با شدت بالا)، اعمال وصله در تمامی سیستم‌ها، مستلزم صرف زمان بسیار زیادی است. حتی با وجود اعمال وصله‌ها، معمولاً شاهد حملاتی هستیم که با سوءاستفاده از آسیب‌پذیری‌های وصله شده دو یا سه ساله با موفقیت اجرا می‌شوند.

 

 

در 3 آذر 1400، تیم امنیتی Alibaba Cloud در نشانی زیر رسماً آسیب‌پذیری مذکور را به شرکت آپاچی گزارش نمود. از آنجایی که برخی از توابع Apache Log4j2 دارای توابع تحلیلی بازگشتی هستند، مهاجمان می‌توانند مستقیماً درخواست‌های مخرب ایجاد نموده و از آسیب‌پذیری ‌به صورت اجرای کد از راه دور سوءاستفاده کنند. بهره‌برداری از آسیب‌پذیری مذکور نیازی به پیکربندی خاصی ندارد. شرکت آپاچی نیز تایید نمود که ضعف امنیتی CVE-2021-4428 بر پیکربندی‌های پیش‌فرض چندین بستر آپاچی از جمله Apache Struts2،وApache Solr،وApache Druid،وApache Flink و غیره تأثیر می‌گذارد.

https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html

شرکت آپاچی نسخه Log4j 2.15.0 را برای ترمیم شدت آسیب‌پذیری CVE-2021-44228 منتشر کرده است.

همچنین می‌توان شدت ضعف امنیتی مذکور را در نسخه‌های قبلی (2.10 به بعد) با تنظیم ویژگی سیستم “log4j2.formatMsgNoLookups” به گزینه “true” یا حذف کلاس JndiLookup از classpath کاهش داد.

شرکت آپاچی نیز از آنجایی که مهاجمان در حال جستجوی اهداف آسیب‌پذیر هستند، به راهبران امنیتی سازمان‌ها توصیه می‌کند که در اسرع وقت با مراجعه به نشانی زیر توصیه‌نامه مربوطه را مطالعه و کتابخانه مذکور را به آخرین نسخه ارتقاء دهند.

https://logging.apache.org/log4j/2.x/security.html

https://logging.apache.org/log4j/2.x/download.html

خروج از نسخه موبایل