در آذر ۱۴۰۰، مایکروسافت، سیسکو، مکآفیاینترپرایز، بیتدیفندر، کسپرسکی، سوفوس، ویامور، ادوبی، گوگل، اپل، موزیلا، اسآپ و آپاچی اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیتترین اصلاحیههای آذر ماه پرداخته شده است.
مـایـکـروسـافـت
شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی دسامبر منتشر کرد. اصلاحیههای مذکور بیش از 60 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت 7 مورد از آسیبپذیریهای ترمیم شده ماه دسامبر 2021، “حیاتی” (Critical) و دیگر موارد “مهم” (Important) اعلام شده است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم میکنند:
- “ترفیع امتیازی” (Elevation of Privilege)
- “اجرای کد به صورت از راه دور” (Remote Code Execution)
- “افشای اطلاعات” (Information Disclosure)
- “جعل” (Spoofing)
- “منع سرویس” (Denial of Service – به اختصار DoS)
مجموعه اصلاحیههای امنیتی ماه دسامبر 2021 شامل ترمیم آسیبپذیری مربوط به Windows Installer است که به طور فعال مورد سوءاستفاده قرار گرفته و در کارزارهای توزیع بدافزار استفاده میشود.
6 مورد از آسیبپذیریهای ترمیم شده ماه دسامبر، از نوع “روز-صفر” (شناسههای CVE-2021-43890،وCVE-2021-41333،وCVE-2021-43880،وCVE-2021-43893،وCVE-2021-43240،وCVE-2021-43883) میباشند، اگرچه تنها یک مورد از آسیبپذیریهای “روز-صفر” ترمیم شده در ماه دسامبر به طور فعال مورد سوءاستفاده قرار گرفته است.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.
فهرست 6 ضعف امنیتی “روز-صفر” ترمیم شده آخرین ماه از سال میلادی 2021، به شرح زیر است:
- CVE-2021-43890: این آسیبپذیری از نوع “جعل” بوده و Windows AppX Installer از آن تاثیر میپذیرد. درجه شدت آسیبپذیری مذکور که به طور فعال مورد سوءاستفاده قرار گرفته، 1 از ۱۰ (بر طبق استاندارد CVSS) گزارش شده و دارای درجه اهمیت “مهم” میباشد. مایکروسافت اعلام نموده که از تلاش مهاجمان در بکارگیری بستههای دستکاری شده جهت سوءاستفاده از این ضعف امنیتی آگاه است و این باگ برای انتشار بدافزارهای Trickbot ،Emotet و Bazaloader در کارزارهای مختلف مورد سوءاستفاده قرار گرفته است.
- CVE-2021-41333: برای دومین ضعف امنیتی “روز-صفر”، درجه شدت 8 از ۱۰ (بر طبق استاندارد CVSS) گزارش شده و از نوع “ترفیع امتیازی” است. آسیبپذیری مذکور بر Windows Print Spooler تأثیر میگذارد، نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) آن به صورت عمومی منتشر شده و پیچیدگی بسیار پایینی در حملات دارد.
- CVE-2021-43880: این آسیبپذیری از نوع “ترفیع امتیازی” میباشد. مهاجمان محلی میتوانند از این ضعف امنیتی در Windows Mobile Device Management برای حذف فایلهای مورد نظر در یک سیستم سوءاستفاده کنند.
- CVE-2021-43893: درجه شدت این ضعف امنیتی “روز-صفر” که از نوع “ترفیع امتیازی” است، 5 از ۱۰ (بر طبق استاندارد CVSS) گزارش شده و Windows Encrypting File System از آن تاثیر میپذیرد.
- CVE-2021-43240: درجه شدت این آسیبپذیری 8 از ۱۰ (بر طبق استاندارد CVSS) گزارش شده است. مایکروسافت اعلام کرده که این ضعف امنیتی موجب “ترفیع امتیاز” در NTFS Set Short Name شده و نمونه اثباتگر آن به صورت عمومی منتشر شده است.
- CVE-2021-43883: آخرین ضعف امنیتی “روز-صفر”، منجر به ترفیع امتیازی غیرمجاز بر Windows Installer شده و درجه شدت آن 8 از ۱۰ (بر طبق استاندارد CVSS) گزارش شده است.
در ادامه به بررسی 7 آسیبپذیری ترمیم شده “حیاتی” ماه دسامبر میپردازیم:
اولین ضعف امنیتی حیاتی دارای شناسه CVE-2021-43233 است که مهاجم را قادر به سوءاستفاده از پودمان RDP (Remote Desktop Protocol) نموده و بر روی Windows Remote Desktop Client تاثیر میگذارد.
آسیبپذیری حیاتی دیگر، CVE-2021-43217 نیز ناشی از باگی در Windows Encrypted File System – به اختصار EFS – است. این ضعف امنیتی میتواند بدون توجه به استفاده یا عدم استفاده از EFS در سیستم مورد نظر فعال شده و مورد سوءاستفاده قرار بگیرد. سوءاستفاده مهاجم از این آسیبپذیری و بکارگیری یک فایل دستکاری شده میتواند منجر به خطای موسوم به سرریز حافظه (Buffer Overflow Write) و در نتیجه اجرای کد احراز هویت نشده با راهاندازی EFS شود. نمونه اثباتگر این ضعف امنیتی به طور عمومی منتشر شده و ضروری است هر چه سریعتر نسبت به وصله آن اقدام شود.
سومین ضعف امنیتی حیاتی آخرین ماه میلادی 2021، دارای شناسه CVE-2021-43215 است و Windows 7 را در سرورهای کمتر فراگیر Internet Storage Name Service Server – به اختصار iSNS – متاثر میکند؛ مولفهای نرمافزاری که اتصالات را از طریق iSCSI در Storage Area Network مدیریت میکند. مهاجم با سوءاستفاده از آسیبپذیری مذکور و ارسال بستههای دستکاری شده میتواند در ماشینی که به SAN متصل است، منجر به اجرای کد از راه دور شود.
دو آسیبپذیری حیاتی دیگر محصولاتی غیر از Windows را متاثر میکند. CVE-2021-43905 که با سوءاستفاده از Microsoft Office App در Windows Store سیستم را مورد هدف قرار میدهد و CVE-2021-43907 که Visual Studio Code را با سوءاستفاده از افزونه Windows Subsystem for Linux – به اختصار WSL – متاثر میکند.
ششمین ضعف امنیتی حیاتی در یکی از جدیدترین محصولات مایکروسافت به نام Defender for IOT بوده و دارای شناسه CVE-2021-42310 میباشد. این نرمافزار متصل به Azure، دادههای دستگاههای IoT را برای شناسایی آسیبپذیریهای احتمالی و مسائل امنیتی ثبت میکند. اما یک آسیبپذیری در نسخه 10.5.2 و بالاتر Defender for IOT این امکان را برای مهاجم فراهم میکند تا دادههایی را به کنسول مستقر ارسال نموده و منجر به اجرای کد از راه دور شود. (هفت آسیبپذیری دیگر نیز از نوع “اجرای کد از راه دور” و یک آسیبپذیری از نوع “افشای اطلاعات” در Defender for IOT وجود دارد.)
آخرین آسیب پذیری حیاتی ماه دسامبر با سوءاستفاده از ضعفی در Microsoft’s 4K Wireless Display Adapter، “اجرای کد از راه دور” را بر روی سیستم قربانی برای مهاجم فراهم میکند. این یک آسیبپذیری در سطح میانافزار (Firmware-level) بوده و نیاز به دانلود یک برنامه بهروزرسانی شده دارد. مهاجم احراز هویت نشده میتواند با ارسال بستههای دستکاری شده در دستگاههای آسیبپذیر wireless display adapter، کد دلخواه را اجرا نماید.
با توجه به اینکه نمونه اثباتگر برخی از ضعفهای امنیتی ماه دسامبر منتشر شده و بعضی از آنها به طور فعال مورد سوءاستفاده قرار گرفتهاند، توصیه میشود کاربران در اسرع وقت نسبت به بهروزرسانی وصلهها اقدام نمایند.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای دسامبر ۲۰۲۱ مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/235046/237266/244794/
سـیسـکو
شرکت سیسکو (.Cisco Systems, Inc) در آذر ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد این بهروزرسانیها، 8 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 2 مورد از آنها “حیاتی”، 4 مورد از آنها از نوع “بالا” (High) و 2 مورد از نوع “متوسط” (Medium) گزارش شده است. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
https://tools.cisco.com/security/center/publicationListing.x
مـکآفـی اینتـرپـرایز
در آذر ماه، شرکت مکآفی اینترپرایز (McAfee Enterprise) اقدام به انتشار نسخ جدید زیر کرد:
- Application and Change Control for Linux 6.4.18
- Command Line Scanner 7.0.1
- Endpoint Security for Linux 10.7.8
- File and Removable Media Protection 5.4.2
- Management of Native Encryption 5.2.1
- McAfee Client Proxy 4.3.0
- MVISION DLP 2112
- MVISION Private Access for macOS
- Endpoint Security Storage Protection 2.1
همچنین این شرکت با انتشار ePolicy Orchestrator 5.10.0 Update 11 Hotfix 2 مجموعه آسیبپذیریهای معروف به Log4J را نیز در این محصول ترمیم و برطرف کرد. جزییات بیشتر در این خصوص در لینک زیر قابل دریافت است:
https://kc.mcafee.com/corporate/index?page=content&id=KB95109
بـیـتدیـفنـدر
در ماهی که گذشت شرکت بیتدیفندر (Bitdefender) نسخ زیر را منتشر کرد:
- GravityZone Control Center 6.27.1-1
- Bitdefender Endpoint Security Tools for Windows 7.4.2.130
- Bitdefender Endpoint Security Tools for Linux 7.0.3.1922
- Bitdefender Endpoint Security for Mac 7.4.8.200007
- Bitdefender Security Server Multi-Platform 6.2.5.11201
- Bitdefender Security Server (VMware NSX-T) 1.1.4.11199
- Bitdefender Security Server (VMware NSX-V) 6.2.3.11022
اطلاعات کامل در خصوص تغییرات و بهبودهای لحاظ شده در نسخ مذکور در لینک زیر قابل مطالعه است:
https://www.bitdefender.com/business/support/en/77212-48453-release-notes.html
کسـپرسـکی
شرکت کسپرسکی (AO Kaspersky Lab) در 1 آذر با انتشار نسخ جدید، در مجموع، 3 آسیبپذیری را در محصولات زیر ترمیم کرد:
- Kaspersky VPN Secure Connection
- Kaspersky Anti-Virus
- Kaspersky Internet Security
- Kaspersky Total Security
- Kaspersky Small Office Security
- Kaspersky Security Cloud
- Kaspersky Password Manager
توضیحات این شرکت در مورد آسیبپذیریهای مذکور در لینک زیر قابل مطالعه است:
https://support.kaspersky.com/general/vulnerability.aspx?el=12430#221121
سوفوس
شرکت سوفوس (.Sophos, Ltd) در اوایل آذرماه طی اطلاعیهای عنوان نموده که پس از 11 بهمن 1400، Sophos SSL VPN Client دیگر قابلیت دانلود، نصب جدید و بهروزرسانی نخواهد داشت. سوفوس مشتریان را به نصب، استفاده از برنامه جدیدتر و پیشرفتهتر Sophos Connect v2، تشویق میکند. برنامه VPN Client جدید و بسیار پیشرفته سوفوس با Sophos (XG) Firewall و Sophos (SG) UTM کار میکند. اطلاعات بیشتر درخصوص راهاندازی Sophos Connect، در نشانیهای زیر قابل دریافت و مطالعه است:
- Sophos Connect Documentation:
https://docs.sophos.com/nsg/sophos-connect/help/en-us/nsg/scon/learningContents/InstallScon.html
- Sophos (XG) Firewall: Configuring remote access SSL VPN with Sophos Connect:
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/index.html
- Sophos (XG) Firewall: Bulk deployment instructions:
https://support.sophos.com/support/s/article/KB-000040793?language=en_US
- Sophos (SG) UTM: Configuring remote access SSL VPN with Sophos Connect:
https://support.sophos.com/support/s/article/KB-000043396?language=en_US
در اواسط آذر ماه، شرکت مذکور، یک آسیبپذیری را در پورتال کاربران SG UTM، در زمان login کاربر در پورتال کشف نمود. ضعف امنیتی مذکور که توسط این شرکت ترمیم شده، از نوع “تزریق کد SQL”و(SQL Injection) بوده و دارای شناسه CVE-2021-36807 میباشد.
شرکت سوفوس به کاربران محصولات Sophos SG UTM توصیه میکند که ضمن غیرفعالسازی پورتال کاربران، در اولین فرصت محصول مذکور را به آخرین نسخه موجود (نسخه ۹.۷۰۸ SG UTM ) ارتقاء دهند.
همچنین در این نسخه، OpenSSL نیز بهروزرسانی شده است که دیگر مجموعههای رمزنگاری (cipher suites) را که شامل پروتکل تبادل کلید Non-EC Diffie-Hellman – به اختصار DH – میباشند، پشتیبانی نمیکند. این مجموعههای رمزنگاری مدتی است که ضعیف تلقی میشوند. جزییات بیشتر در خصوص آسیبپذیری مذکور در نشانی زیر قابل مطالعه است.
https://newsroom.shabakeh.net/22874/sg-utm-up2date-9-708-released.html
در ماهی که گذشت، سوفوس، بهروزرسانی Firewall OS v18.5 MR2 (Build 380) را نیز ارائه نمود که شامل بهینهسازیهایی جهت افزایش امنیت و کارایی صورت گرفته و اصلاح اشکالات گزارش شده در نسخههای قبلی است. شرکت سوفوس به تمامی مشتریان توصیه میکند که فایروال خود را به آخرین نسخه میانافزار ارتقاء دهند تا از ویژگیهای جدید ارائه شده در فایروال مذکور بهرهمند شوند. بکارگیری Sophos Firewall OS v18.5 MR2 ضمن تضمین عملکرد بهینه فایروال به دلیل بهرهمندی از جدیدترین فناوریها و بهینهسازیهای امنیتی، به بهترین شکل از سازمان شما در برابر تهدیدات محافظت میکند.
پس از کشف یک آسیبپذیری در کتابخانه Log4l در تاریخ 18 آذر 1400، که دارای درجه اهمیت “حیاتی” بوده و از نوع RCE (اجرای کد از راه دور) میباشد، توصیهنامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.
https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیبپذیر باشند، تعدادیIPS Signature را در محصولات Sophos Endpoint،وSophos Firewall و Sophos SG UTM پیادهسازی کرده که هر گونه ترافیکی را که سعی در سوءاستفاده از آسیبپذیری مذکور دارد، شناسایی و مسدود میکند.
مشتریان Sophos XDR میتوانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیبپذیر Log4j در محیط سازمان خود استفاده کنند.
Query مذکور نشان میدهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانیهای زیر بهروزرسانیهای لازم انجام شده و تمامی پروسههای ورود به سیستم (Log) به منظور هرگونه نشانهای از سوءاستفاده و آلودگی بررسی شود.
https://logging.apache.org/log4j/2.x/security.html
https://logging.apache.org/log4j/2.x/download.html
سوفوس با توجه به شدت و ماهیت گسترده این آسیبپذیری، به مشتریان توصیه میکند که استفاده از Log4j را در همه برنامهها، سیستمها و سرویسهای خود بررسی کنند. در این راستا شرکت مذکور توصیه میکند که راهبران امنیتی ابتدا بر روی سرویسهای منتشر شده در اینترنت تمرکز کنند و دستورالعملهای به روزرسانی شرکتهای مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند. جهت کسب اطلاعات بیشتر در خصوص ضعف امنیتی Log4j مطالعه مقالات زیر توصیه میشود.
https://newsroom.shabakeh.net/22919/apache-log4j-vulnerability.html
ویامور
در ماهی که گذشت، شرکت ویامور (VMware, Inc) با انتشار توصیهنامههای امنیتی، نسبت به ترمیم محصولات زیر اقدام کرد:
- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation (Cloud Foundation)
- vRealize Suite Lifecycle Manager
- VMware Workspace ONE UEM console
- VMware Horizon
- VMware vCenter Server (vCenter Server)
- VMware HCX
- VMware NSX-T Data Center
- VMware Unified Access Gateway
- VMware WorkspaceOne Access
- VMware vRealize Operations
- VMware vRealize Operations Cloud Proxy
- VMware vRealize Automation
- VMware vRealize Lifecycle Manager
- VMware Site Recovery Manager, vSphere Replication
- VMware Carbon Black Cloud Workload Appliance
- VMware Carbon Black EDR Server
- VMware Tanzu GemFire
- VMware Tanzu GemFire for VMs
- VMware Tanzu Greenplum
- VMware Tanzu Operations Manager
- VMware Tanzu Application Service for VMs
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Observability by Wavefront Nozzle
- Healthwatch for Tanzu Application Service
- Spring Cloud Services for VMware Tanzu
- Spring Cloud Gateway for VMware Tanzu
- Spring Cloud Gateway for Kubernetes
- API Portal for VMware Tanzu
- Single Sign-On for VMware Tanzu Application Service
- App Metrics
- VMware vCenter Cloud Gateway
- VMware vRealize Orchestrator
- VMware Workspace ONE Access Connector
- VMware Horizon DaaS
- VMware Horizon Cloud Connector
- VMware NSX Data Center for vSphere
- VMware AppDefense Appliance
- VMware Cloud Director Object Storage Extension
- VMware Telco Cloud Operations
- VMware vRealize Log Insight
- VMware Tanzu Scheduler
- VMware Smart Assurance NCM
- VMware Smart Assurance SAM [Service Assurance Manager]
- VMware Integrated OpenStack
- VMware vRealize Business for Cloud
- VMware vRealize Network Insight
- VMware Cloud Provider Lifecycle Manager
- VMware SD-WAN VCO
- VMware NSX-T Intelligence Appliance
- VMware Horizon Agents Installer
- VMware Tanzu Observability Proxy
سوءاستفاده از ضعفهای امنیتی ترمیم شده توسط این بهروزرسانیها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر و دستیابی به اطلاعات حساس میکند. جزییات بیشتر آن در لینک زیر قابل مطالعه است:
https://www.vmware.com/security/advisories.html
ادوبـی
در آذر ماه، شرکت ادوبی (.Adobe, Inc) مجموعه اصلاحیههای امنیتی ماه دسامبر را منتشر کرد. اصلاحیههای مذکور، در مجموع 60 آسیبپذیری را در 11 محصول زیر ترمیم میکنند:
- Adobe Premiere Rush
- Adobe Experience Manager
- Adobe Connect
- Adobe Photoshop
- Adobe Prelude
- Adobe After Effects
- Adobe Dimension
- Adobe Premiere Pro
- Adobe Media Encoder
- Adobe Lightroom
- Adobe Audition
ادوبی در مجموعه اصلاحیه ماه دسامبر، یک آسیبپذیری با شناسه CVE-2021-43014 را در Adobe Connect ترمیم نموده که نسخه 11.4 و قبلتر این نرمافزار از آن تاثیر میپذیرند. درجه اهمیت ضعف امنیتی مذکور “مهم” (Important) بوده و سوءاستفاده مهاجم از این آسیبپذیری منجر به باگی موسوم به Arbitrary File System Write میشود. اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه دسامبر 2021 در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
گـوگـل
شرکت گوگل (Google, LLC) در آذر ماه، اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 22 آذر ماه انتشار یافت، نسخه 96.0.4664.110 است. فهرست اشکالات مرتفع شده در لینک زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html
اپـل
در آذر ماه، شرکت اپل (.Apple, Inc) با انتشار بهروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود از جمله iOS،وiPadOS،وwatchOS،وtvOS،وSafari،وSecurity Update Catalina و macOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. توصیه میشود با مراجعه به نشانی زیر، بهروزرسانی مربوطه هر چه سریعتر اعمال شود.
https://support.apple.com/en-us/HT201222
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird و NSS برطرف کرد. اصلاحیههای مذکور، در مجموع 17 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت 1 مورد از آنها “حیاتی”، 6 مورد از آنها “بالا”، 7 مورد “متوسط” (Moderate) و 3 مورد “پایین” (Low) گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
اسآپ
اسآپ (SAP SE) نیز در 24 آذر 1400 با انتشار مجموعهاصلاحیههایی، 27 آسیبپذیری را در چندین محصول خود برطرف کرد. شدت یک مورد از این ضعفهای امنیتی 10 از 10، سه مورد 9.9 از 10 (بر طبق استاندارد CVSS) گزارش شده است. بهرهجویی از بعضی از آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021
آپاچی
در ماهی که گذشت، بنیاد نرمافزار آپاچی (Apache Software Foundation)، یک توصیهنامه امنیتی برای رفع یک ضعف امنیتی که مربوط به کتابخانه مبتنی بر Javaو(Log4j) سرورهای آپاچی میباشد، منتشر کرد. آسیبپذیری مذکور، حملاتی از نوع RCE (اجرای کد از راه دور) را برای مهاجمان فراهم میکند که کاربران خانگی و سازمانها را در معرض خطر قرار میدهد.
Log4j توسط بنیاد نرمافزاری آپاچی توسعه یافته و به طور گسترده در برنامههای کاربردی سازمانی و سرویسهای ابری مورد استفاده قرار گرفته است. ضعف امنیتی موجود در این کتابخانه که Log4Shell یا LogJam نامیده میشود، دارای شناسه CVE-2021-44228 میباشد. درجه شدت آسیبپذیری مذکور 10 از ۱۰ (بر طبق استاندارد CVSS) و با درجه اهمیت “حیاتی” گزارش شده است.
ضعف امنیتی “روز-صفر” مذکور به مهاجمان اجازه میدهد تا اسکریپتهای مخرب را دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم را برای آنها فراهم میکند. باگ مذکور به مهاجمان اجازه میدهد تا اسکریپتها را روی سرورهای موردنظر دانلود و اجرا نموده و امکان کنترل کامل و از راه دور سیستم آسیبپذیر را برای مهاجمان در سیستمهای آسیبپذیر دارای Log4j 2.0-beta9 تا 2/14/1 فراهم میکند. لازم به ذکر است که سوءاستفاده از ضعف امنیتی مذکور نیازی به احراز هویت ندارد و برای اجرای آن نیازی به تخصص فنی سطح بالا نیست.
شرکت آپاچی نسخه Log4j 2.15.0 را برای ترمیم آسیبپذیری CVE-2021-44228 منتشر کرده است.
پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log4j، دومین آسیبپذیری موجود در کتابخانه مذکور به شناسه CVE-2021-45046 کشف شد که بر نسخه 2.15.0 که برای ترمیم Log4Shell ارائه شده بود، تأثیر میگذاشت.
سومین آسیبپذیری که به تازگی کشف شده نیز دارای شناسه CVE-2021-45105 بوده، از نوع “Infinite Recursion” است و بر همه نسخههای Log4j از alpha1و-2.0 تا 2.16.0 تأثیر میگذارد. برای این ضعف امنیتی، شدت 7.5 از 10 (بر طبق استاندارد CVSS) و درجه اهمیت “بالا” (High) گزارش شده است.
شرکت آپاچی نیز از آنجایی که مهاجمان در حال جستجوی اهداف آسیبپذیر هستند، به راهبران امنیتی سازمانها توصیه میکند که در اسرع وقت با مراجعه به نشانی زیر توصیهنامه مربوطه را مطالعه و کتابخانه مذکور را به آخرین نسخه ارتقاء دهند.
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance