بنیاد نرمافزاری آپاچی(Apache Software Foundation) در پی کشف سومین ضعف امنیتی در Log۴j، به شناسه CVE-۲۰۲۱-۴۵۱۰۵، بهروزرسانی دیگری – نسخه ۲,۱۷.۰ – را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.
به گزارش مرکز مدیریت راهبردی افتا: Log۴j که توسط بنیاد نرمافزاری آپاچی توسعهیافته، بهطور گسترده در برنامههای کاربردی سازمانی و سرویسهای ابری استفاده شده است.
اولین آسیبپذیری موجود در این کتابخانه با درجه اهمیت “حیاتی” (Critical) که از نوع RCE (اجرای کد از راه دور) است، ۱۸ آذر ۱۴۰۰، کشف شد، این ضعف امنیتی که Log۴Shell یا LogJam نامیده میشود، دارای شناسهCVE-۲۰۲۱-۴۴۲۲۸ بوده و درجه شدت آن ۱۰ از ۱۰ (بر طبق استاندارد CVSS) گزارششده است.
ازآنجاییکه کتابخانه Log۴j در بسیاری از سرویسها و سرورها تعبیهشده است و سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، بخش قابلتوجهی از نرمافزارهای سازمانی، برنامههای تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، آسیبپذیر هستند.
ضعف امنیتی کتابخانه Log۴j به مهاجمان اجازه میدهد تا اسکریپتهای مخرب را دانلود و اجرا کرده و امکان کنترل کامل از راه دور سیستم را برای آنها فراهم میکند؛ ازاینرو، شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
سرویسهای Honeypot شرکت بیت دیفندر نیز با استناد به ترافیک ایجادشده، تلاشهای متعدد مهاجمان را برای استقرار یک باجافزار بر روی سیستمهای آسیبپذیر با استفاده از باگ Log۴Shell گزارش کردند.
شرکت مایکروسافت (Microsoft Corp.) نیز ضمن تأیید یافتههای Bitdefender، اعلام کرده که تلاشهایی را مشاهده کرده است که مهاجمان با سوءاستفاده از Log۴Shell در حال انتشار باجافزار Khonsari بر روی سرور Minecraft هستند.
پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log۴j، دومین آسیبپذیری موجود در کتابخانه مذکور به شناسه CVE-۲۰۲۱-۴۵۰۴۶ کشف شد که بر نسخه ۲,۱۵.۰ تأثیر میگذاشت که برای ترمیم Log۴Shell ارائهشده بود.
بااینحال، به نظر میرسد که باگ کشفشده در نسخه ۲,۱۵.۰ گزارششده بود، از اهمیت و شدت کمتری برخوردار است. آپاچی این ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۵۰۴۶ را با درجه اهمیت “متوسط” (Moderate) و شدت ۳.۷ از ۱۰ (بر طبق استاندارد CVSS) گزارش کرده است.
بنیاد آپاچی، نسخه ۲,۱۶.۰ Log۴j را برای رفع ضعف امنیتی CVE-۲۰۲۱-۴۵۰۴۶ منتشر و اعلام کرد که باگ Context Lookup را کاملاً ترمیم و دسترسی به Java Naming and Directory Interface – بهاختصار JNDI – را بهطور پیشفرض غیرفعال کرده است.
بااینوجود، نسخه ۲,۱۶.۰ Log۴j نیز در برابر جستجوهای خود ارجاعی (Self-referential Lookup) همچنان آسیبپذیر است و نمیتواند از توابع بازگشتی غیر کنترلشده (Uncontrolled Recursion) پیشگیری کند.
هنگامیکه پیکربندی ورود به سیستم (Logging Configuration) از یک Pattern Layout غیر پیشفرض با قابلیت Context Lookup استفاده میکند (برای مثال $$ {ctx:loginId})، مهاجمان با کنترل بر روی دادههای ورودی Thread Context Map میتوانند دادههای ورودی مخربی را که حاوی جستجوی بازگشتی (Recursive Lookup) است، ایجاد کنند؛ این امر منجر به خطای StackOverflowError شده و پروسه را خاتمه میدهد.
این باگ بهعنوان یک حمله منع سرویس Denial of Service) – بهاختصار DoS) نیز شناخته میشود. این ضعف امنیتی، با شناسه CVE-۲۰۲۱-۴۵۱۰۵ ، از نوع Infinite Recursion است و بر تمامی نسخههای Log۴j از ۲/۰-alpha۱ و حتی نسخه دوم منتشرشده یعنی ۲/۱۶/۰ تأثیر میگذارد. برای این ضعف امنیتی، شدت ۷,۵ از ۱۰ (بر طبق استاندارد CVSS) و درجه اهمیت “بالا” (High) گزارششده است.
با هدف رفع سومین آسیبپذیری، اخیراً بنیاد آپاچی نسخه ۲,۱۷.۰ (سومین نسخه) را برای کتابخانه Log۴j منتشر کرد.
بنیاد آپاچی در نسخه اخیر، در PatternLayout مربوط به پیکربندی ورود (Logging Configuration)، این مشکل را با تغییر Context Lookup از حالتهای ${ctx:loginId} یا $${ctx:loginId} به الگوهای Context Map نظیر (%X، %mdc و %MDC) ترمیم کرده است، در غیر این صورت، چون از منابع خارجی برنامههای کاربردی مانند هدرهای HTTP یا ورودی کاربر گرفته میشوند، باید ارجاعات به Context Lookup نظیر ${ctx:loginId} یا $${ctx:loginId} در پیکربندی، حذف شوند.
توصیهنامه امنیتی بنیاد نرمافزاری آپاچی علاوه بر نسخه ۲,۱۷.۰، در نشانی زیر منتشر شده است:
https://logging.apache.org/log۴j/۲.x/
بنیاد نرمافزاری آپاچی به مدیران امنیتی توصیه کرده است که در اولین فرصت، در سیستمهای خود، کتابخانه Log۴j را به نسخه ۲,۱۷.۰ ارتقا دهند.
منبع:
https://www.computing.co.uk/news/۴۰۴۲۳۰۷/log۴j-vulnerability-uncovered-apache-releases-version
(با تشکر ازشرکت مهندسی شبکهگستر برای همکاری درتهیه این گزارش)
دیدگاه شما