
[vc_row][vc_column][vc_column_text]آخرین آسیب پذیری خطرناک امنیتی که محققان امنیتی فاش کردند استفادهی هکرها از آسیب پذیری اخیر Log4J در بیش از 840000 حمله سایبری است. مهاجمین شرکتهایی زیادی را در سرتاسر جهان هدف قرار دادهاند، از جمله شرکتهای بزرگی مانند اپل، آمازون، آیبیام، مایکروسافت و سیسکو. شرکت امنیتی Check Point وضعیت سوء استفاده از این باگ امنیتی را زیر نظر داشت و در یک نقطه، بیش از 100 حمله Log4J را در دقایق کوتاهی مشاهده کرد.
هکرها در سراسر جهان پراکنده شدهاند، اما به نظر میرسد که بسیاری از آنها از گروههای تحت حمایت دولت نشأت میگیرند. شرکتهایی که این حملات را ردیابی میکنند، از جمله Check Point و SentinelOne، تأیید میکنند که بسیاری از آنها از هکرهای چینی شناخته شده هستند. Check Point اضافه میکند که بیش از نیمی از سوء استفادهها از گروههای هک معروف است که از آن برای استقرار بدافزارهای رایج مانند Tsunami و Mirai برای باتنتها و XMRig برای استخراج Monero استفاده میکنند.
ابتدا این اکسپلویت در سرورهای بازی محبوب Minecraft کشف شد. این اکسپلویت از یک نقص در جاوا برای راه اندازی حملات اجرای کد از راه دور استفاده می کند که می تواند به طور کامل کنترل یک سیستم را در دست بگیرد. مسئله اینجاست که این اکسپلویت جدید میتواند حتی خطرناکتر از موارد قبلی باشد، چرا که Log4j به طور گسترده در بیشتر اکوسیستم جاوا مورد استفاده قرار گرفته است. به همین دلیل، آسیبپذیری CVE-2021-44228 از آن رو اهمیت دارد که نرمافزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمانها مورد استفاده قرار میگیرند، از این کتابخانه استفاده میکنند. آسیبپذیری مذکور به حملهکننده این امکان را میدهد که از طریق ارسال یک Payload در درخواست های HTTP باعث اجرا شدن کدهای مخرب خود در سرویسهای داخلی که دارای این ضعف امنیتی هستند، شود.
این Payload میتواند در هر کدام از پارامترهای HTTP مانند URI ، User Agent ، Body ، Referrer باشد.
با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حملهکننده قرار میگیرد. همانطور که حدس زدید، بهره برداری از این آسیب پذیری بسیار ساده و آسان است. از این رو، سرعت تلاش برای سوء استفاده از آن به حد بسیار زیادی بالا بود. نرخ رشد تلاش برای بهره برداری از این رخنه در شکل زیر، در طی تنها چند روز پس از اولین انتشار قابل مشاهده است.
نحوه رفع رخنه ی امنیتی CVE-2021-44228
بر اساسی گزارشی که شرکت Apache منتشر کرد، به کمک روشهای زیر میتوان در برابر این آسیبپذیری ایمن بود:
- بهروزرسانی به نسخهی Log4j15.0
- اگر از نسخهی Log4J10 و یا نسخه های بالاتر استفاده میکنید و امکان ارتقاء به آخرین نسخه را ندارید این مقدار را در تنظیمات وارد کنید:
Log4j2.formatMsgNolookups=true
- کلاس JndiLookup را از مسیر کلاسها پاک کنید. مثلا میتوانید از دستور زیر استفاده کنید:
Zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- با توجه به اهمیت سرویسهای لاگ در نرم افزارهای مختلف، برای پردازش لاگها در قسمتهای متعددی از ابزارهای توسعه داده شده توسط آپاچی مانند Apache Kafka و Elastic Searchو Log Stashو Apache Flink استفاده میشود.
اقدامات لازم جهت پایش و شناسایی حملات
- به روز رسانی امضاهای تشخیص حمله در WAF برای مقابله با حملات علیه سرویسهای وب
- بروز رسانی و ایجاد قوانین سرویس NIDS جهت شناسایی رفتار مخاطره آمیز مرتبط با log4j و یا log4shell
- به روز رسانی قوانین تحلیل رفتاری ترافیک جهت رصد کردن پارامترهای پروتکل HTTP
- به روز رسانی اسکریپتهای پویشگر آسیب پذیری جهت شناسایی نرم افزارهای آسیب پذیر در سازمان
آخرین پکیج به روز رسانی محصول راوین، را بدین منظور مورد استفاده قرار دهید.
لیست برندهای متاثر از این آسیب پذیری در پیوند https://github.com/NCSC-NL/log4shell/blob/main/software/README.md آورده شده است و به طور پیوسته در حال به روز رسانی می باشد. تجهیزات خود را در آن جستجو کرده و از وضعیت آسیب پذیری آنها مطلع شوید.[/vc_column_text][/vc_column][/vc_row]