توصیه‌نامه امنیتی سوفوس در خصوص ضعف امنیتی Log4Shell

18 آذر 1400، یک آسیب‌پذیری با درجه اهمیت حیاتی (Critical) که از نوع RCE (اجرای کد از راه دور) می‌باشد در کتابخانه Log4j کشف شد.

ضعف امنیتی مذکور Log4Shell یا LogJam نامیده می‌شود و دارای شناسه CVE-2021-44228 می‌باشد.

از آنجایی که Log4j، کتابخانه‌ای منبع‌باز (Open source) و بسیار پرکاربرد است، در بسیاری از برنامه‌ها و نرم‌افزارهای سازمانی از جمله بسترهای ابری، برنامه‌های کاربردی تحت وب و سرویس‌های پست الکترونیک استفاده می‌شود. بنابراین طیف گسترده‌ای از نرم‌افزارها در سطح اینترنت وجود دارند که می‌تواند در معرض خطر سوءاستفاده از آسیب‌پذیری مذکور باشند.

از طرفی تقریباً هر یک از برنامه‌های تحت وب و اکثر سرورها به نوعی پروسه ورود به سیستم (Logging) را اجرا می‌کنند و همگی از کتابخانه محبوب Log4j که مبتنی بر زبان برنامه‌نویسی Java پیاده‌سازی شده استفاده می‌کنند لذا این آسیب‌پذیری طیف گسترده‌ای از سرویس‌ها و برنامه‌های کاربردی روی سرورها را تحت تأثیر قرار می‌دهد و آن را به شدت خطرناک می‌کند. از این رو اعمال آخرین به‌روزرسانی‌ها برای تمامی برنامه‌های کاربردی و سرورها بسیار ضروری است.

در همین حال محققان شرکت سوفوس (Sophos, Ltd)، هشدار داده‌اند که صدها هزار تلاش برای اجرای کد از راه دور با استفاده از آسیب‌پذیری Log4Shell تنها در همین روزهای پس از افشای عمومی آن، شناسایی کرده‌اند. آنها اعلام نموده‌اند که مهاجمان در حال حاضر تلاش می‌کنند تا اینترنت را برای نمونه‌های آسیب‌پذیر Log4j پویش کنند.

در حال حاضر نمونه‌های فعالی از مهاجمانی شناسایی شده که به دنبال سوءاستفاده از آسیب‌پذیری‌ Log4j جهت نصب بدافزار استخراج رمز ارز هستند. گزارش‌هایی نیز از چندین بات‌نت، از جمله Tsunami ،Mirai و Kinsing وجود دارد که تلاش می‌کنند از ضعف امنیتی مذکور سوءاستفاده کنند.

 

شرکت سوفوس نیز تحقیقاتی را برای تعیین اینکه آیا راهکارهای امنیتی این شرکت تحت تأثیر آسیب‌پذیری مذکور قرار گرفته‌اند انجام داده است. نتیجه تحقیقات نشان میدهد که امکان Log4j در فایروال های سوفوس بطور کلی استفاده نشده است و بنابراین، فایروال های سوفوس در مقابل این آسیب پذیری مصون هستند. توصیه‌نامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.

 

https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

 

با وجود اینکه خود فایروال های سوفوس در برابر این آسیب پذیری مصون هستند، SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیب پذیر باشند، تعدادی IPS Signature را در محصولات Sophos Endpoint ،Sophos Firewall و Sophos SG UTM پیاده‌سازی کرده که هر گونه ترافیک را که سعی در سوءاستفاده از آسیب‌پذیری مذکور دارد، شناسایی و مسدود می‌کند.

تیم Sophos Managed Threat Response – به اختصار MTR – شرکت سوفوس نیز، همواره به طور فعال حساب‌های مشتریان MTR را برای فعالیت‌های پسا‌بهره‌جویی زیر نظر دارد.

همچنین مشتریان Sophos XDR می‌توانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیب‌پذیر Log4j در محیط سازمان خود استفاده کنند.

https://community.sophos.com/intercept-x-endpoint/i/compliance/identify-vulnerable-log4j-apache-components?cmp=136634

 

 Query مذکور نشان می‌دهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانی‌های زیر به‌روزرسانی های لازم انجام شده و تمامی پروسه‌های ورود به سیستم (Log) به منظور هرگونه نشانه‌ای از سوءاستفاده و آلودگی بررسی شود.

https://logging.apache.org/log4j/2.x/security.html

https://logging.apache.org/log4j/2.x/download.html

سوفوس با توجه به شدت و ماهیت گسترده این آسیب‌پذیری، به مشتریان توصیه می‌کند استفاده از Log4j را در همه برنامه‌ها، سیستم‌ها و سرویس‌ها در سراسر محیط خود بررسی کنند. در این راستا شرکت مذکور توصیه می‌کند که راهبران امنیتی ابتدا بر روی سرویس‌های منتشر شده در  اینترنت تمرکز کنند و دستورالعمل‌های به روزرسانی شرکت‌های مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند.

جهت کسب اطلاعات بیشتر در خصوص ضعف امنیتی Log4j مطالعه مقالات زیر توصیه می‌شود.

 

https://newsroom.shabakeh.net/22888/new-zero-day-exploit-log4j-java-library-enterprise-nightmare.html

https://nakedsecurity.sophos.com/2021/12/10/log4shell-java-vulnerability-how-to-safeguard-your-servers/

https://nakedsecurity.sophos.com/2021/12/13/log4shell-explained-how-it-works-why-you-need-to-know-and-how-to-fix-it/

https://news.sophos.com/en-us/2021/12/12/log4shell-hell-anatomy-of-an-exploit-outbreak/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *