یک آسیبپذیری حیاتی در کتابخانه منبع باز Apache Log4j که بر برنامهها و سیستمهای بیشماری در سراسر جهان تأثیر میگذارد، در 10 دسامبر بهطور عمومی گزارش شد.
طبق گزارش آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISAآسیبپذیری Log4j که به نام Log4Shell شناخته میشود، میتواند «یک بازیگر راه دور تأیید نشده» را فعال کند. [to] از این آسیبپذیری برای در دست گرفتن کنترل سیستم آسیبدیده استفاده کنید.»
آسیب پذیری که به آن نیز معروف است CVE-2021-44228، قبلاً توسط پروژه منبع باز وصله شده است، اما این به سازمان ها، ارائه دهندگان برنامه و توسعه دهندگان بستگی دارد که این وصله را اجرا کنند – یعنی اگر حتی بدانند که در وهله اول از کتابخانه آسیب پذیر استفاده می کنند.
در حالی که آسیبپذیری Log4j Log4Shell شدید است، اما اولین آسیبپذیری نیست و احتمالاً آخرین نیز نخواهد بود که شامل نوعی کتابخانه کد اساسی است که به طور گسترده استفاده میشود.
اصلاح مولفه آسیبپذیر در تولید و همچنین استقرار یک شبکه یا سرویس فایروال برنامه کاربردی وب مبتنی بر ابر (WAF) هر دو اشکال کاهشی هستند که میتوانند کمک کنند. در سطح عمیقتر، تعدادی از بهترین شیوهها وجود دارد که سازمانها و تیمهای DevSecOps میتوانند برای محدود کردن خطر CVE-2021-44228 و هر آسیبپذیری دیگری مانند آن استفاده کنند.
در زیر چند توصیه کلیدی برای متخصصان DevSecOps برای کمک به ایجاد انعطافپذیری لازم برای جلوگیری و کاهش نقصهایی مانند CVE-2021-44228 از تأثیر شدید وجود دارد.
DevOps را با SecOps پل بزنید
با یک تهدید فعال مانند آسیبپذیری Log4Shell، تیمهای عملیات امنیتی باید به طور فعال با تیمهای DevOps همکاری کنند. یک رویکرد رایج در DevSecOps این است کهتغییر سمت چپ” – افزودن امنیت در مراحل اولیه توسعه با یک تهدید فعال، موضوع در کد است و همچنین در حال تولید است و نیاز به رویکرد جامع تری دارد.
“پل سمت چپ CI / CD Sandeep Lahane، بنیانگذار و مدیر عامل در دیپفنس، گفت ITPro امروز. هزاران آسیبپذیری ایجاد شده در طول اسکنهای CI/CD در چنین مواقعی کمک چندانی نمیکنند، زیرا Ops مجبور است هزاران گره را تحت فشار زمان شدید اصلاح کند.
Lahane پیشنهاد میکند که تیمهای DevSecOps قابلیتهای خود را با ابزارهای زمان اجرا که از زمینه ترافیک برای شمارش، تجسم و بستن مسیرهای حمله استفاده میکنند، تقویت کنند.
از تست امنیت برنامه برای شناسایی ایرادات رایج استفاده کنید
آسیبپذیری Log4Shell یک نوع رایج نقص است که میتوانست در طول توسعه شناسایی شود، اگر کد با نوع ابزار مناسب اسکن میشد.
به گفته جف ویلیامز، یکی از بنیانگذاران و CTO در امنیت کنتراست، تست امنیت برنامه (AST) توسعه دهندگان را از انجام انواع اشتباهاتی که منجر به بهره برداری می شود جلوگیری می کند.
ویلیامز گفت: «در این مورد، توسعهدهندگان دادهها را قبل از ورود به سیستم اعتبارسنجی یا فرار نکردند، مشکلی به نام log-injection. ITPro امروز. “حذف این مشکل، حملات Log4Shell را از رسیدن به کتابخانه آسیب پذیر متوقف می کرد.”
از تجزیه و تحلیل ترکیب نرم افزار استفاده کنید
به گفته تحلیلگر Forrester، از دیدگاه DevSecOps، محدود کردن ریسک ناشی از Log4Shell و آسیبپذیریهای آینده مانند آن به این معنی است که بدانید چه چیزی در نرمافزار شما وجود دارد و اتوماسیونی را در اختیار داشته باشید تا به راحتی آن را ارتقا دهید. سندی کاریلی.
Carielli گفت که برای درک و کنترل نرم افزارهای موجود در برنامه های یک سازمان، تیم های DevSecOps باید خطوط لوله توسعه را با ابزارهایی ادغام کنند که:
- گزارش های مربوط به کتابخانه های آسیب پذیر در نرم افزار
- راهنمایی در مورد چگونگی رفع این مشکلات ارائه می دهد
- زمانی که میخواهید کتابخانههای آسیبپذیر یا پرخطر را به پروژه خود اضافه کنید، سیاستهایی را برای مسدود کردن و هشدار تنظیم میکند.
“تحلیل ترکیب نرم افزار [SCA] ابزاری است که تیم های امنیتی برای درک مولفه های منبع باز و اغلب اجزای تجاری در نرم افزار شما استفاده می کنند.” ITPro امروز. یک راه حل SCA که به خوبی اجرا شده است، با خط لوله CI/CD، از جمله با مخزن کد منبع، ادغام می شود تا اجزای مخرب شناخته شده را مسدود کند، کتابخانه های آسیب پذیر و نحوه استفاده از آنها را شناسایی کند، و ارتقاها و وصله ها را به طور خودکار توصیه و کمک کند.»
او اضافه کرد که امروزه بسیاری از فناوریهای SCA در حال گسترش به مسائل زنجیره تامین گستردهتر هستند و توصیه میکنند زمانی که قطعات قدیمی هستند، قدیمی هستند یا به خوبی نگهداری نمیشوند، بهروزرسانی شوند. بسیاری از ابزارهای SCA نیز اکنون تولید و تجزیه و تحلیل می کنند صورتحساب های مواد نرم افزاری (SBOMs).
“در مورد Log4j، یک ابزار SCA به خوبی یکپارچه باید همه موارد آسیب پذیر Log4j را پیدا کند، آنها را بر اساس نحوه فراخوانی کامپوننت توسط محصول شما اولویت بندی کند، ارتقا را به نسخه ثابت توصیه کند و اتوماسیونی را ارائه دهد تا این ارتقا به همان اندازه یکپارچه شود. کاریلی گفت.