کتابخانه Apache Log4j یک ابزار گزارشگیری مبتنی بر جاوا است که در برنامههای کاربردی سازمانی در همه جا وجود دارد. آسیبپذیری معروف به Log4Shell که برای اولین بار در 9 دسامبر گزارش شد، به مهاجم اجازه میدهد تنها با ارسال یک رشته کد خاص از طریق یک برنامه آسیبدیده، سرور را تصاحب کند.
از آن زمان، محققان امنیتی موج عظیمی از حملات را گزارش می کنند.
برای مثال، چک پوینت به تنهایی گزارش داد که از 1.3 میلیون تلاش تا 14 دسامبر در برابر 44 درصد از کل شبکه های جهانی جلوگیری کرد.
و تعداد حملات به طور تصاعدی در حال افزایش است، زیرا هکرها برای سوء استفاده از آسیبپذیری برای سرقت دادهها، استقرار باجافزار، نصب درهای پشتی، ایجاد باتنت، استخراج ارزهای دیجیتال و انجام سایر فعالیتهای غیرقانونی عجله دارند.
آلی ملن، تحلیلگر موسسه تحقیقاتی Forrester گفت: «این آسیب پذیری به دلیل مقیاس عظیم آن بسیار خطرناک است.
به گفته Mellen، جاوا در بیش از 3 میلیارد دستگاه استفاده می شود و تعداد زیادی از آنها از Log4j استفاده می کنند.
او افزود: «این آسیبپذیری برای ماهها – اگر نگوییم سالها – برای حمله به شرکتها استفاده خواهد شد.
دور دالی، مدیر امنیت اطلاعات در ولکان سایبر، گفت: «این که بگوییم هر سازمان سازمانی از جاوا استفاده میکند طولانی نیست. و Log4j یکی از محبوبترین پلتفرمهای گزارشگیری برای جاوا است. با اتصال نقاط، تأثیر این آسیبپذیری میتواند قابل توجه باشد.»
به گفته برایان فاکس، CTO در فروشنده امنیت سایبری Sonatype، نسخه آسیبپذیر Log4j در چهار ماه گذشته 29 میلیون بار دانلود شده است و همچنین جزء تقریباً 7000 پروژه منبع باز دیگر است.
او به Data Center Knowledge گفت: «این حتی یک قطعه ساختمانی در هلیکوپتر Ingenuity در مریخ نورد است.
طبق دادههای Sonatype، نسخه جدید وصلهشده Log4j از دوشنبه در دسترس بوده است – اما 65 درصد از کل دانلودهای فعلی هنوز برای نسخه قدیمی و آسیبپذیر است.
فروشنده امنیت سایبری Wiz دریافته است که بیش از 89 درصد از همه محیطها دارای کتابخانههای Log4j آسیبپذیر هستند.
آمی لوتواک، بنیانگذار ویز فو و مدیر ارشد فناوری ویز، میگوید: «و در بسیاری از آنها، تیمهای توسعهدهنده مطمئن هستند که نوردهی آنها صفر است – و از اینکه متوجه میشوند برخی از اجزای شخص ثالث واقعاً با استفاده از جاوا ساخته شدهاند، متعجب میشوند.»
Wiz استارت آپ امنیت ابری 6 میلیارد دلاری است که در اوایل سال جاری آسیب پذیری Microsoft Cosmos DB را پیدا کرد. این شرکت گفت که استفاده از آن در نتیجه Log4j دو برابر شده است.
Etay Maor، استاد امنیت سایبری در کالج بوستون و مدیر ارشد استراتژی امنیتی در Cato گفت: “سطح حمله برای عوامل تهدید بسیار زیاد است.”
بدتر از آن، بسیاری از برنامه هایی که از این کتابخانه استفاده می کنند به طور فعال نگهداری نمی شوند و ممکن است وصله ها فوراً در دسترس نباشند.
کریس وایسوپال، مدیر ارشد فناوری و یکی از بنیانگذاران CA Veracode، یک فروشنده امنیت سایبری، گفت: “هیچ روش کاهش شبکه خوبی برای محافظت در برابر این حمله وجود ندارد.” “روشی که داده ها توسط Log4j تفسیر می شوند این است که یک تجزیه کننده تودرتو دارد. می توانید عناصر را در عناصر درون عناصر و رشته های تودرتو جاسازی کنید. تنها راه برای رفع واقعی این آسیب پذیری، به روز رسانی کتابخانه ای است که برنامه از آن استفاده می کند.”
او گفت حتی اگر یک برنامه خاص از Log4j استفاده نکند، زیرساخت های اطراف ممکن است شامل سرور برنامه، سرور صف پیام، سرور پایگاه داده یا دستگاه های شبکه باشد.
دلیل خوبی وجود دارد که Log4Shell، که به طور رسمی با نام CVE-2021-44228 شناخته می شود، از نظر شدت، رتبه 10 از 10 را دارد.
کیسی الیس، مدیر عامل Bugcrowd، یک شرکت امنیت سایبری، توضیح داد که این آسیبپذیری به مهاجمان اجازه میدهد تا نرمافزارهای مخرب را با وادار کردن Log4j برای نوشتن یک ورودی گزارش ویژه ساخته شده اجرا کنند.
او گفت: «از آنجایی که ورود به سیستم از نظر طراحی انعطافپذیر است، این آسیبپذیری تقریباً تعداد نامتناهی مسیرهای بالقوه برای بهرهبرداری دارد.
حتی برنامههای امنیت سایبری نیز ممکن است حساس باشند – کد Log4j آسیبپذیر در محصولات CyberArk، ForgeRock، Okta، Ping Identity، Fortinet، SonicWall و Sophos و بسیاری دیگر یافت شده است. این کد همچنین در محصولاتی از سیسکو، IBM، VMware و بسیاری دیگر از فروشندگان فناوری سازمانی یافت شده است.
فروشندگان همگی در حال رقابت با زمان برای اصلاح یا کاهش محصولات خود هستند.
جن ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت در بیانیهای که روز شنبه منتشر شد، گفت: «این آسیبپذیری یک خطر جدی است.
CISA توصیه میکند که شرکتها دستگاههای خارجی را که Log4j نصب کردهاند شناسایی کنند، مطمئن شوند که مرکز عملیات امنیتی به هر هشداری که از آن دستگاهها دریافت میشود عمل میکند، و یک فایروال برنامه وب با قوانین مناسب نصب کنند.
این آژانس همچنین دستورالعمل آسیبپذیری را برای کمک به فروشندگان و شرکتها در واکنش به این تهدید منتشر کرد.
فاش شدن این آسیب پذیری بلافاصله پس از کشف به صورت عمومی کمکی نکرد. به طور معمول، این آسیبپذیری زودتر از موعد برای فروشندگان آسیبدیده افشا میشود، بنابراین آنها این فرصت را خواهند داشت که سیستمهای حیاتی را قبل از اینکه مهاجمان درباره آن مطلع شوند، اصلاح کنند. معمولاً هنوز یک شکاف وجود دارد که در آن برخی از شرکتها به کندی وصله میکنند و مهاجمان از آن سود میبرند. اما این بار، شکاف ها جهانی هستند – هر فروشنده ای اکنون در تلاش است تا در حالی که مهاجمان یک روز میدانی دارند، راه حلی را ارائه دهند.
تاثیر مرکز داده
جف ویلیامز، مدیر ارشد فناوری و یکی از بنیانگذاران Contrast Security گفت: «مدیران مراکز داده باید بدانند که سرورهای آنها به طور قطع امروز مورد حمله قرار گرفته است. مهاجمان تقریباً همه چیز را با تلاش برای سوء استفاده از این آسیبپذیری هدف قرار میدهند.»
دیوید ولپوف، مدیر ارشد فناوری و یکی از بنیانگذاران Randori، یک شرکت امنیت سایبری، گفت: Log4j معمولاً در محصولات VMware و همچنین Jamf Pro و بسیاری از برنامههای کاربردی دیگر استفاده میشود.
او به Data Center Knowledge گفت: «مدیران مراکز داده باید بدانند که Log4j احتمالاً در بسیاری از برنامههای مدیریتی آنها استفاده میشود.
او توصیه میکند که مراکز داده تا آنجا که ممکن است، انکار پیشفرض را در بسیاری از برنامههای کاربردی مهم خارجی فعال کنند.
او گفت: «محدود کردن اتصالات خروجی میتواند خطر آسیبپذیری مانند Log4j را کاهش دهد که در آینده بر سیستمهای شما تأثیر میگذارد. مشتریان Randori که این اقدام را انجام دادهاند، علیرغم داشتن برنامههای آسیبپذیر در سیستمهای خود، به طور نامتناسبی تحت تأثیر Log4j CVE قرار نگرفتند.
مایکل کلارک، مدیر تحقیقات تهدید در Sysdig گفت، اما این فقط برنامه های کاربردی در محیط نیستند که به طور بالقوه آسیب پذیر هستند.
او به Data Center Knowledge گفت: «به عنوان مثال، یک وب سرور ممکن است وصله شود، اما هر سیستمی که دادههای کاربر را از آن مدیریت میکند نیز باید وصله شود. در غیر این صورت، این اکسپلویت ممکن است در پایین تر از جریان کار در یک برنامه پردازشی رخ دهد.