18 آذر 1400، یک آسیبپذیری با درجه اهمیت حیاتی (Critical) که از نوع RCE (اجرای کد از راه دور) میباشد در کتابخانه Log4j کشف شد.
ضعف امنیتی مذکور Log4Shell یا LogJam نامیده میشود و دارای شناسه CVE-2021-44228 میباشد.
از آنجایی که Log4j، کتابخانهای منبعباز (Open source) و بسیار پرکاربرد است، در بسیاری از برنامهها و نرمافزارهای سازمانی از جمله بسترهای ابری، برنامههای کاربردی تحت وب و سرویسهای پست الکترونیک استفاده میشود. بنابراین طیف گستردهای از نرمافزارها در سطح اینترنت وجود دارند که میتواند در معرض خطر سوءاستفاده از آسیبپذیری مذکور باشند.
از طرفی تقریباً هر یک از برنامههای تحت وب و اکثر سرورها به نوعی پروسه ورود به سیستم (Logging) را اجرا میکنند و همگی از کتابخانه محبوب Log4j که مبتنی بر زبان برنامهنویسی Java پیادهسازی شده استفاده میکنند لذا این آسیبپذیری طیف گستردهای از سرویسها و برنامههای کاربردی روی سرورها را تحت تأثیر قرار میدهد و آن را به شدت خطرناک میکند. از این رو اعمال آخرین بهروزرسانیها برای تمامی برنامههای کاربردی و سرورها بسیار ضروری است.
در همین حال محققان شرکت سوفوس (Sophos, Ltd)، هشدار دادهاند که صدها هزار تلاش برای اجرای کد از راه دور با استفاده از آسیبپذیری Log4Shell تنها در همین روزهای پس از افشای عمومی آن، شناسایی کردهاند. آنها اعلام نمودهاند که مهاجمان در حال حاضر تلاش میکنند تا اینترنت را برای نمونههای آسیبپذیر Log4j پویش کنند.
در حال حاضر نمونههای فعالی از مهاجمانی شناسایی شده که به دنبال سوءاستفاده از آسیبپذیری Log4j جهت نصب بدافزار استخراج رمز ارز هستند. گزارشهایی نیز از چندین باتنت، از جمله Tsunami ،Mirai و Kinsing وجود دارد که تلاش میکنند از ضعف امنیتی مذکور سوءاستفاده کنند.
شرکت سوفوس نیز تحقیقاتی را برای تعیین اینکه آیا راهکارهای امنیتی این شرکت تحت تأثیر آسیبپذیری مذکور قرار گرفتهاند انجام داده است. نتیجه تحقیقات نشان میدهد که امکان Log4j در فایروال های سوفوس بطور کلی استفاده نشده است و بنابراین، فایروال های سوفوس در مقابل این آسیب پذیری مصون هستند. توصیهنامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
با وجود اینکه خود فایروال های سوفوس در برابر این آسیب پذیری مصون هستند، SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیب پذیر باشند، تعدادی IPS Signature را در محصولات Sophos Endpoint ،Sophos Firewall و Sophos SG UTM پیادهسازی کرده که هر گونه ترافیک را که سعی در سوءاستفاده از آسیبپذیری مذکور دارد، شناسایی و مسدود میکند.
تیم Sophos Managed Threat Response – به اختصار MTR – شرکت سوفوس نیز، همواره به طور فعال حسابهای مشتریان MTR را برای فعالیتهای پسابهرهجویی زیر نظر دارد.
همچنین مشتریان Sophos XDR میتوانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیبپذیر Log4j در محیط سازمان خود استفاده کنند.
Query مذکور نشان میدهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانیهای زیر بهروزرسانی های لازم انجام شده و تمامی پروسههای ورود به سیستم (Log) به منظور هرگونه نشانهای از سوءاستفاده و آلودگی بررسی شود.
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html
سوفوس با توجه به شدت و ماهیت گسترده این آسیبپذیری، به مشتریان توصیه میکند استفاده از Log4j را در همه برنامهها، سیستمها و سرویسها در سراسر محیط خود بررسی کنند. در این راستا شرکت مذکور توصیه میکند که راهبران امنیتی ابتدا بر روی سرویسهای منتشر شده در اینترنت تمرکز کنند و دستورالعملهای به روزرسانی شرکتهای مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند.
جهت کسب اطلاعات بیشتر در خصوص ضعف امنیتی Log4j مطالعه مقالات زیر توصیه میشود.
https://news.sophos.com/en-us/2021/12/12/log4shell-hell-anatomy-of-an-exploit-outbreak/