محققان به تازگی یک ضعف امنیتی “روز – صفر” را در کتابخانه Log۴j کشف کردهاند که به مهاجمان اجازه میدهد تا اسکریپتهای مخرب را دانلود و اجرا کرده و امکان کنترل کامل و از راه دور سیستم را برای آنها فراهم کنند.
به گزارش مرکز مدیریت راهبردی افتا، یک نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC) از ضعف این امنیتی نیز که مربوط به کتابخانه مبتنی بر Java (Log۴j) سرورهای آپاچی است، در حال حاضر بهصورت آنلاین منتشر و به اشتراک گذاشتهشده است.
این آسیبپذیری، حملاتی از نوع RCE (اجرای کد از راه دور) را برای مهاجمان فراهم میکند که کاربران خانگی و سازمانها را در معرض خطر قرار میدهد.
Log۴j توسط بنیاد نرمافزاری آپاچی(Apache Software Foundation) توسعهیافته و بهطور گسترده در برنامههای کاربردی سازمانی و سرویسهای ابری مورداستفاده قرارگرفته است. ضعف امنیتی موجود در این کتابخانه که به تازگی منتشرشده، Log۴Shell یا LogJam نامیده میشود و دارای شناسه CVE-۲۰۲۱-۴۴۲۲۸ است.
درجه شدت این آسیبپذیری ۱۰ از ۱۰ (بر طبق استاندارد CVSS) و با درجه اهمیت “حیاتی” (Critical) گزارششده است.
این باگ به مهاجمان اجازه میدهد تا اسکریپتها را روی سرورهای موردنظر دانلود و اجرا کرده و امکان کنترل کامل و از راه دور سیستم را برای مهاجمان در سیستمهای آسیبپذیر دارای Log۴j ۲,۰-beta۹ تا ۲/۱۴/۱ فراهم میکند.
سوءاستفاده از این ضعف امنیتی نیازی به احراز هویت ندارد و برای اجرای آن نیازی به تخصص فنی سطح بالا نیست.
Log۴j فقط یک کتابخانه در Java نیست، همانطور که در نشانی زیر به آن اشارهشده، این کتابخانه در بسیاری از سرویسها و سرورها تعبیهشده است. بخش قابلتوجهی از نرمافزارهای سازمانی، برنامههای تحت وب و محصولات اپل، آمازون، کلودفلر، توییتر، استیم، انواع مختلف سرورهای آپاچی و الستیک سرچ احتمالاً در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، آسیبپذیر هستند.
https://github.com/YfryTchsGD/Log۴jAttackSurfac
سازمانها و شرکتهای امنیتی مختلف هشدار دادهاند که مهاجمان در حال تلاش برای پویش اینترنت، جستجوی اهداف آسیبپذیر و آلوده کردن سرویسهای مختلف وب هستند. تعداد کل پویشها با استفاده از Log۴Shell در یک روز سه برابر افزایشیافته است. درحالیکه اکثر پویشها هدف خاصی ندارند، به نظر میرسد حدود ۲۰ درصد از تلاشها برای جستجوی سرویسهای آسیبپذیر Apache Solr هستند.
شرکت بیت دیفندر نیز در نشانی زیر با استناد به ترافیک ایجادشده در سرویسهای Honeypot این شرکت و به دلیل سهولت بهرهبرداری و گستردگی کاربرد کتابخانه Log۴j در سرورها و نرمافزارها هشدار داده است که مهاجمان از آسیبپذیری و گستردگی کتابخانه اطلاع دارند و احتمالاً شاهد شروع کارزاری بسیار طولانی هستیم.
بااینحال تخمین اثرات مخرب ضعف امنیتی Log۴Shell بسیار دشوار است زیرا باتوجهبه پیشینه وصلهها (حتی برای آسیبپذیریهای با شدت بالا)، اعمال وصله در تمامی سیستمها، مستلزم صرف زمان بسیار زیادی است. حتی با وجود اعمال وصلهها، معمولاً شاهد حملاتی هستیم که با سوءاستفاده از آسیبپذیریهای وصله شده دو یا سهساله با موفقیت اجرا میشوند.
تیم امنیتی Alibaba Cloud، در ۳ آذر ۱۴۰۰، در نشانی زیر این آسیبپذیری را به شرکت آپاچی گزارش کرد.
https://www.cyberkendra.com/۲۰۲۱/۱۲/worst-log۴j-rce-zeroday-dropped-on.htm
ازآنجاییکه برخی از توابع Apache Log۴j۲ دارای توابع تحلیلی بازگشتی هستند، مهاجمان میتوانند مستقیماً درخواستهای مخرب ایجاد و از آسیبپذیری بهصورت اجرای کد از راه دور سوءاستفاده کنند. بهرهبرداری از این آسیبپذیری نیازی به پیکربندی خاصی ندارد. شرکت آپاچی نیز تأیید کرد که ضعف امنیتی CVE-۲۰۲۱-۴۴۲۸ بر پیکربندیهای پیشفرض چندین بستر آپاچی از جمله Apache Struts۲، Apache Solr، Apache Druid، Apache Flink و غیره تأثیر میگذارد.شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم شدت آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرده است.
همچنین میتوان شدت این ضعف امنیتی را در نسخههای قبلی (۲,۱۰ به بعد) با تنظیم ویژگی سیستم “”log۴j۲.formatMsgNoLookups به گزینه “true” یا حذف کلاس JndiLookup از classpath کاهش داد.
به راهبران امنیتی سازمانها توصیه اکید میشود با مراجعه به نشانی زیر توصیهنامه آپاچی را مطالعه کرده و این کتابخانه را به آخرین نسخه ارتقاء دهند.
https://logging.apache.org/log۴j/۲.x/security.htm
منابع:
(با تشکر ازشرکت مهندسی شبکهگستر برای همکاری درتهیه این گزارش)
دیدگاه شما