بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) در پی کشف چهارمین ضعف امنیتی هفته‌های اخیر در کتابخانه Log۴j، به شناسه CVE-۲۰۲۱-۴۴۸۳۲، به‌روزرسانی دیگری – نسخه ۲,۱۷.۱ – را برای این کتابخانه منتشر کرده است.

به گزارش مرکز مدیریت راهبردی افتا،  تا قبل از این،نسخه ۰/۱۷/۲ امن ترین نسخه برای ارتقاء Log۴j به نظر می‌رسید، اما با شناسایی آسیب‌پذیری از نوع اجرای کد از راه دور (Remote Code Execution – به اختصار RCE) در آن، نسخه ۱/۱۷/۲ برای ترمیم این ضعف امنیتی منتشر شد.
سوءاستفاده گسترده از اولین آسیب‌پذیری اخیر در این کتابخانه (با شناسه CVE-۲۰۲۱-۴۴۲۲۸) که Log۴Shell یا LogJam نامیده شده بود، پس از انتشار یک نمونه اثباتگر (Proof-of-Concept – به‌اختصار PoC) در GitHub از حدود ۱۸ آذر آغاز شد.
باتوجه به استفاده گسترده Log۴j در اکثر برنامه‌های Java و این واقعیت که سوءاستفاده از ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۴۲۲۸، نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، این آسیبپذیری به کابوسی برای سازمان ها و دولت ها در سراسر جهان تبدیل شده است، ازاین رو، شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم آسیب پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
مهاجمان باج افزار Conti همچنان در حال سوءاستفاده از ضعف امنیتی Log۴Shell این کتابخانه برای دسترسی سریع به VMware vCenter Server و رمزگذاری ماشین های مجازی در سیستم های وصله نشده و آسیب پذیر هستند.
 این در حالی است که مهاجمان، به پلتفرم رمزنگاری ویتنامی با نام ONUS نیز از طریق log۴shell  نفوذ و درخواست ۵ میلیون دلار باج کرده اند.
پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log۴j، دومین آسیب پذیری موجود در نسخه ۰/۱۵/۲ این کتابخانه به شناسه CVE-۲۰۲۱-۴۵۰۴۶ کشف شد. بنیاد آپاچی، نسخه ۰/۱۶/۲ را به منظور رفع ضعف امنیتی CVE-۲۰۲۱-۴۵۰۴۶ منتشر کرد و اعلام کرد که به طور کامل این باگ را برطرف کرده است. بااین وجود، نسخه ۲.۱۶.۰ Log۴j نیز همچنان دارای آسیب پذیری به شناسه CVE-۲۰۲۱-۴۵۱۰۵ از نوع Infinite Recursion بوده است و مهاجمان می توانند ازآن جهت حمله منع سرویس (Denial-of-Service – به اختصار DoS) سوءاستفاده کنند.
برای رفع سومین آسیب پذیری، بنیاد آپاچی نسخه ۰/۱۷/۲ (سومین نسخه ) را برای کتابخانه Log۴j منتشر کرد. این نسخه ایمن ترین نسخه تلقی می شد.
اما اکنون آسیب پذیری دیگری از نوع RCE با شناسه CVE-۲۰۲۱-۴۴۸۳۲ در نسخه ۰/۱۷/۲ شناسایی شده که منجر به انتشار نسخه جدیدتر ۱/۱۷/۲ جهت ترمیم آن شده است. این ضعف امنیتی دارای درجه اهمیت «متوسط» (Moderate) و شدت ۶,۶ از ۱۰ (بر طبق استاندارد CVSS) است. آسیبپذیری مذکور ناشی از فقدان کنترل های لازم در دسترس JDNI در Log۴j است.

• 

این باگ این طور توصیف شده است که JDBC Appender باید هنگام دسترسی به JNDI از JndiManager استفاده کند. دسترسی JNDI باید از طریق یکی از ویژگی های سیستم کنترل شود.
سوءاستفاده از ضعف امنیتی CVE-۲۰۲۱-۴۴۸۳۲ موجب می شود که مهاجم با استفاده از یک JDBC Appender با منبع داده ای که به JNDI URI ارجاع می دهد، مجوز تغییر پیکربندی فایل ورود (Logging Configuration File) را دریافت کرده و ضمن ایجاد یک پیکربندی مخرب، از راه دور کد مخرب دلخواه را اجرا کند.
گروه های مختلف مهاجمان سایبری تاکنون، از آسیب پذیری های کتابخانه log۴j از سیستم های آسیب پذیر نقاط مختلف جهان، بسیارسوءاستفاده کرده اند.
به راهبران امنیتی توصیه می شود به منظور درامان ماندن از حمله مهاجمان دراسرع وقت با مراجعه به نشانی های زیر، کتابخانه Log۴j را به جدیدترین نسخه ۱/۱۷/۲ (Java ۸)، ۲,۱۲.۴ (Java ۷) و ۲.۳.۲ (Java ۶) ارتقاء دهند.

https://logging.apache.org/log۴j/۲.x/https://logging.apache.org/log۴j/۲.x/security.html#CVE-۲۰۲۱-۴۴۸۳۲

منابع:

https://checkmarx.com/blog/cve-۲۰۲۱-۴۴۸۳۲-apache-log۴j-۲-۱۷-۰-arbitrary-code-execution-via-jdbcappender-datasource-element

https://www.bleepingcomputer.com/news/security/log۴j-۲۱۷۱-out-now-fixes-new-remote-code-execution-bug