یک آسیبپذیری جدی اجرای کد در Log4j کارشناسان امنیتی را در مورد پیامدهای فاجعهبار بالقوه برای سازمانهای سازمانی و برنامههای وب هشدار میدهند.
این آسیبپذیری که بهعنوان CVE-2021-44228 در گزارش آسیبپذیریهای امنیتی Apache Log4j فهرست شده است، به مهاجمان از راه دور امکان میدهد تا کنترل سیستم آسیبدیده را در دست بگیرند.
Log4j چیست؟
Log4j یک چارچوب سیستم لاگ منبع باز آپاچی است که توسط توسعه دهندگان برای ثبت سوابق در یک برنامه استفاده می شود.
این اکسپلویت در کتابخانه معروف لاگ جاوا منجر به اجرای کد از راه دور (RCE) می شود. مهاجم یک رشته کد مخرب ارسال می کند که وقتی توسط Log4j ثبت می شود، به مهاجم اجازه می دهد جاوا را روی سرور بارگذاری کند و کنترل را در دست بگیرد.
سیمی گزارش می دهد که مهاجمان از عملکرد چت Minecraft برای سوء استفاده از این آسیب پذیری بعد از ظهر جمعه استفاده می کنند.
چه کسی تحت تأثیر مشکل امنیتی Log4j قرار می گیرد؟
این موضوع به حدی شدید است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده اطلاعیه ای را در 10 دسامبر منتشر کرد که در بخشی از آن می گوید:
CISA کاربران و مدیران را تشویق میکند تا اطلاعیه Apache Log4j 2.15.0 را بررسی کرده و به Log4j 2.15.0 ارتقا دهند یا اقدامات کاهشی توصیه شده را فوراً اعمال کنند.
تبلیغات
ادامه مطلب زیر
گزارشی که در بالا به آن ارجاع داده شده است، شدت مشکل را به عنوان “بحرانی” طبقه بندی می کند و آن را به این صورت توصیف می کند:
ویژگیهای Apache Log4j2 <=2.14.1 JNDI که در پیکربندی، پیامهای گزارش و پارامترها استفاده میشوند، در برابر LDAP کنترلشده مهاجم و سایر نقاط پایانی مرتبط با JNDI محافظت نمیکنند.
مهاجمی که میتواند پیامهای گزارش یا پارامترهای پیام گزارش را کنترل کند، میتواند کد دلخواه بارگیری شده از سرورهای LDAP را زمانی که جایگزینی جستجوی پیام فعال است، اجرا کند.
مارکوس هاچینز از MalwareTech.com هشدار می دهد که iCloud، Steam و Minecraft همگی آسیب پذیر بودن آنها تایید شده است:
این آسیب پذیری log4j (CVE-2021-44228) بسیار بد است. میلیون ها برنامه از Log4j برای ورود به سیستم استفاده می کنند و تنها کاری که مهاجم باید انجام دهد این است که برنامه را وادار کند تا یک رشته خاص را ثبت کند. تاکنون iCloud، Steam و Minecraft همگی آسیب پذیر بودن آنها تایید شده است.
– مارکوس هاچینز (@MalwareTechBlog) 10 دسامبر 2021
فری ورتلی، مدیر عامل شرکت LunaSec، در پست وبلاگ RCE Zero-Day در 9 دسامبر نوشت: “هرکسی که از Apache Struts استفاده می کند، احتمالا آسیب پذیر است.”
او همچنین گفت: “با توجه به فراگیر بودن این کتابخانه، تاثیر سوء استفاده (کنترل کامل سرور) و سهولت بهره برداری از آن، تاثیر این آسیب پذیری بسیار شدید است.”
تبلیغات
ادامه مطلب زیر
CERT، تیم واکنش اضطراری کامپیوتری اتریش، روز جمعه هشداری را منتشر کرد که بر اساس آن افراد آسیب دیده عبارتند از:
“همه نسخه های Apache log4j از 2.0 تا و از جمله 2.14.1 و همه فریم ورک ها (مانند Apache Struts2، Apache Solr، Apache Druid، Apache Flink و غیره) که از این نسخه ها استفاده می کنند.
طبق گفته شرکت امنیتی LunaSec، نسخههای JDK 6u211، 7u201، 8u191، و 11.0.1 در پیکربندی پیشفرض تحت تأثیر قرار نمیگیرند، زیرا این اجازه نمیدهد یک پایگاه کد راه دور بارگذاری شود.
با این حال، اگر گزینه
com.sun.jndi.ldap.object.trustURLCodebase
استtrue
تنظیم شده است، حمله هنوز ممکن است.
راب جویس، مدیر امنیت سایبری آژانس امنیت ملی، جمعه توییت کرد که، “آسیبپذیری log4j به دلیل گنجاندن گسترده در چارچوبهای نرمافزاری، حتی GHIDRA NSA، یک تهدید مهم برای بهرهبرداری است.”
توصیه های کارشناسان امنیتی برای مبارزه با آسیب پذیری های Log4j
کوین بومونت هشدار می دهد که حتی اگر به log4j-2.15.0-rc1 ارتقا داده بودید، یک بای پس وجود داشت:
اگر قبلاً کد را برای استفاده از log4j-2.15.0-rc1 ارتقا داده اید، هنوز هم آسیب پذیر است – اکنون باید log4j-2.15.0-rc2 را اعمال کنید زیرا یک بای پس وجود دارد. آنها نسخه پایداری ندارند که هنوز رفع نشده است.
– کوین بومونت (@GossiTheDog) 10 دسامبر 2021
مارکوس هاچینز از MalwareTech.com راه حلی برای کسانی که نمی توانند Log4j را ارتقا دهند ارائه می دهد:
اگر نمی توانید log4j را ارتقا دهید، می توانید آسیب پذیری RCE را با تنظیم log4j2.formatMsgNoLookups روی True (-Dlog4j2.formatMsgNoLookups=true در خط فرمان JVM) کاهش دهید.
– مارکوس هاچینز (@MalwareTechBlog) 10 دسامبر 2021
متیو پرنس، یکی از بنیانگذاران و مدیر عامل کلودفلر، جمعه اعلام کرد:
“ما این تصمیم را گرفته ایم #Log4J خیلی بد است که سعی می کنیم حداقل محافظتی برای همه ایجاد کنیم Cloudflare مشتریان به طور پیش فرض، حتی مشتریان رایگان که WAF ما را ندارند. اکنون در حال کار بر روی نحوه انجام این کار با خیال راحت.”
کریس وایسوپال، یکی از بنیانگذاران و CTO در Veracode، ارتقا به حداقل جاوا 8 را توصیه می کند:
نسخه وصلهشده log4j 2.15.0 به حداقل جاوا 8 نیاز دارد. اگر از جاوا 7 استفاده میکنید، باید به Java8 ارتقا دهید.
هنگامی که بهره برداری فعال وجود دارد و شما نیاز به وصله سریع دارید، اگر در طول زمان وابستگی های دیگر خود را به روز کرده باشید، مفید است.
– کریس ویسوپال (@WeldPond) 10 دسامبر 2021
تبلیغات
ادامه مطلب زیر
او همچنین هشدار می دهد، “ممکن است فقط 5٪ از برنامه ها هنوز در جاوا 7 وجود داشته باشند، اما این دم بلندی است که در ماه های آینده مورد سوء استفاده قرار می گیرد. یکی از اینها را در سازمان خود نداشته باشید.”
تشخیص اینکه کدام برنامههای کاربردی در سازمان شما از Log4j استفاده میکنند، باید بسیار مهم باشد.
تصویر ویژه: Shutterstock/solarseven