بنیاد نرم‌افزاری آپاچی(Apache Software Foundation) در پی کشف سومین ضعف امنیتی در Log۴j، به شناسه CVE-۲۰۲۱-۴۵۱۰۵، به‌روزرسانی دیگری – نسخه ۲,۱۷.۰ – را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.
به گزارش مرکز مدیریت راهبردی افتا: Log۴j که توسط بنیاد نرم‌افزاری آپاچی توسعه‌یافته، به‌طور گسترده در برنامه‌های کاربردی سازمانی و سرویس‌های ابری استفاده شده است.
اولین آسیب‌پذیری موجود در این کتابخانه با درجه اهمیت “حیاتی” (Critical) که از نوع RCE (اجرای کد از راه دور) است، ۱۸ آذر ۱۴۰۰،  کشف شد، این ضعف امنیتی که  Log۴Shell یا LogJam نامیده می‌شود، دارای شناسهCVE-۲۰۲۱-۴۴۲۲۸  بوده و درجه شدت آن ۱۰ از ۱۰ (بر طبق استاندارد CVSS) گزارش‌شده است.
ازآنجایی‌که کتابخانه Log۴j در بسیاری از سرویس‌ها و سرورها تعبیه‌شده است و سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، بخش قابل‌توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، آسیب‌پذیر هستند. 
ضعف امنیتی کتابخانه Log۴j به مهاجمان اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا کرده و امکان کنترل کامل از راه دور سیستم را برای آن‌ها فراهم می‌کند؛ ازاین‌رو، شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
سرویس‌های Honeypot شرکت بیت دیفندر نیز با استناد به ترافیک ایجادشده، تلاش‌های متعدد مهاجمان را برای استقرار یک باج‌افزار بر روی سیستم‌های آسیب‌پذیر با استفاده از باگ Log۴Shell گزارش کردند.
شرکت مایکروسافت (Microsoft Corp.) نیز ضمن تأیید یافته‌های Bitdefender، اعلام کرده که تلاش‌هایی را مشاهده کرده است که مهاجمان با سوءاستفاده از Log۴Shell در حال انتشار باج‌افزار Khonsari بر روی سرور Minecraft هستند.
پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log۴j، دومین آسیب‌پذیری موجود در کتابخانه مذکور به شناسه CVE-۲۰۲۱-۴۵۰۴۶ کشف شد که بر نسخه ۲,۱۵.۰ تأثیر می‌گذاشت که برای ترمیم Log۴Shell ارائه‌شده بود. 
بااین‌حال، به نظر می‌رسد که باگ کشف‌شده در نسخه ۲,۱۵.۰ گزارش‌شده بود، از اهمیت و شدت کمتری برخوردار است. آپاچی این ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۵۰۴۶ را با درجه اهمیت “متوسط” (Moderate) و شدت ۳.۷ از ۱۰ (بر طبق استاندارد CVSS) گزارش کرده است.
بنیاد آپاچی، نسخه ۲,۱۶.۰ Log۴j را برای رفع ضعف امنیتی CVE-۲۰۲۱-۴۵۰۴۶ منتشر و اعلام کرد که باگ Context Lookup را کاملاً ترمیم و دسترسی به Java Naming and Directory Interface – به‌اختصار JNDI – را به‌طور پیش‌فرض غیرفعال کرده است.
بااین‌وجود، نسخه ۲,۱۶.۰ Log۴j نیز در برابر جستجوهای خود ارجاعی (Self-referential Lookup) همچنان آسیب‌پذیر است و نمی‌تواند از توابع بازگشتی غیر کنترل‌شده (Uncontrolled Recursion) پیشگیری کند. 
هنگامی‌که پیکربندی ورود به سیستم (Logging Configuration) از یک Pattern Layout غیر پیش‌فرض با قابلیت Context Lookup استفاده می‌کند (برای مثال $$ {ctx:loginId})، مهاجمان با کنترل بر روی داده‌های ورودی Thread Context Map می‌توانند داده‌های ورودی مخربی را که حاوی جستجوی بازگشتی (Recursive Lookup) است، ایجاد کنند؛ این امر منجر به خطای StackOverflowError شده و پروسه را خاتمه می‌دهد.
 این باگ به‌عنوان یک حمله منع سرویس Denial of Service) – به‌اختصار DoS) نیز شناخته می‌شود. این ضعف امنیتی، با شناسه CVE-۲۰۲۱-۴۵۱۰۵ ، از نوع Infinite Recursion است و بر تمامی نسخه‌های Log۴j از ۲/۰-alpha۱ و حتی نسخه دوم منتشرشده یعنی ۲/۱۶/۰ تأثیر می‌گذارد. برای این ضعف امنیتی، شدت ۷,۵ از ۱۰ (بر طبق استاندارد CVSS) و درجه اهمیت “بالا” (High) گزارش‌شده است.
با هدف رفع سومین آسیب‌پذیری، اخیراً بنیاد آپاچی نسخه ۲,۱۷.۰ (سومین نسخه) را برای کتابخانه Log۴j منتشر کرد.
بنیاد آپاچی در نسخه اخیر، در PatternLayout مربوط به پیکربندی ورود (Logging Configuration)، این مشکل را با تغییر Context Lookup از حالت‌های ${ctx:loginId} یا $${ctx:loginId} به الگوهای Context Map نظیر (%X، %mdc و %MDC) ترمیم کرده است، در غیر این صورت، چون از منابع خارجی برنامه‌های کاربردی مانند هدرهای HTTP یا ورودی کاربر گرفته می‌شوند، باید ارجاعات به Context Lookup نظیر ${ctx:loginId} یا $${ctx:loginId} در پیکربندی، حذف شوند.
توصیه‌نامه‌ امنیتی بنیاد نرم‌افزاری آپاچی علاوه بر نسخه ۲,۱۷.۰، در نشانی زیر منتشر شده است:

https://logging.apache.org/log۴j/۲.x/ 

بنیاد نرم‌افزاری آپاچی به مدیران امنیتی توصیه کرده است که در اولین فرصت، در سیستم‌های خود، کتابخانه Log۴j را به نسخه ۲,۱۷.۰ ارتقا دهند.

منبع:

https://www.computing.co.uk/news/۴۰۴۲۳۰۷/log۴j-vulnerability-uncovered-apache-releases-version

(با تشکر ازشرکت مهندسی شبکه‌گستر برای همکاری درتهیه این گزارش)