آخرین آسیب پذیری خطرناک امنیتی که محققان امنیتی فاش کردند استفاده‌ی هکرها از آسیب پذیری اخیر Log4J در بیش از 840000 حمله سایبری است. مهاجمین شرکت‌هایی زیادی را در سرتاسر جهان هدف قرار داده‌اند، از جمله شرکتهای بزرگی مانند اپل، آمازون، آی‌بی‌ام، مایکروسافت و سیسکو. شرکت امنیتی Check Point وضعیت سوء استفاده از این باگ امنیتی را زیر نظر داشت و در یک نقطه، بیش از 100 حمله Log4J را در دقایق کوتاهی مشاهده کرد.

هکرها در سراسر جهان پراکنده شده‌اند، اما به نظر می‌رسد که بسیاری از آنها از گروه‌های تحت حمایت دولت نشأت می‌گیرند. شرکت‌هایی که این حملات را ردیابی می‌کنند، از جمله Check Point و SentinelOne، تأیید می‌کنند که بسیاری از آنها از هکرهای چینی شناخته شده هستند. Check Point اضافه می‌کند که بیش از نیمی از سوء استفاده‌ها از گروه‌های هک معروف است که از آن برای استقرار بدافزارهای رایج مانند Tsunami و Mirai برای بات‌نت‌ها و XMRig برای استخراج Monero استفاده می‌کنند.

ابتدا این اکسپلویت در سرورهای بازی محبوب Minecraft کشف شد. این اکسپلویت از یک نقص در جاوا برای راه اندازی حملات اجرای کد از راه دور استفاده می کند که می تواند به طور کامل کنترل یک سیستم را در دست بگیرد. مسئله اینجاست که این اکسپلویت جدید می‌تواند حتی خطرناک‌تر از موارد قبلی باشد، چرا که Log4j به طور گسترده در بیشتر اکوسیستم جاوا مورد استفاده قرار گرفته است. به همین دلیل، آسیب‌پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرم‌افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان‌ها مورد استفاده قرار می‌گیرند، از این کتابخانه استفاده می‌کنند. آسیب‌پذیری مذکور به حمله‌کننده این امکان را می‌دهد که از طریق ارسال یک Payload در درخواست های HTTP باعث اجرا شدن کدهای مخرب خود در سرویس‌های داخلی که دارای این ضعف امنیتی هستند، شود.

این Payload می‌تواند در هر کدام از پارامترهای HTTP مانند URI ، User Agent ،  Body ، Referrer باشد.

با لاگ شدن هر کدام از این پارامترها که حاوی Payload  مخرب باشند، دسترسی اجرای کد در اختیار حمله‌کننده قرار می‌گیرد. همانطور که حدس زدید، بهره برداری از این آسیب پذیری بسیار ساده و آسان است. از این رو، سرعت تلاش برای سوء استفاده از آن به حد بسیار زیادی بالا بود. نرخ رشد تلاش برای بهره برداری از این رخنه در شکل زیر، در طی تنها چند روز پس از اولین انتشار قابل مشاهده است.

نحوه رفع رخنه ی امنیتی CVE-2021-44228

بر اساسی گزارشی که شرکت Apache منتشر کرد، به کمک روش‌های زیر می‌توان در برابر این آسیب‌پذیری ایمن بود:

  • به‌روزرسانی به نسخه‌ی Log4j15.0
  • اگر از نسخه‌ی Log4J10 و یا نسخه های بالاتر استفاده می‌کنید و امکان ارتقاء به آخرین نسخه را ندارید این مقدار را در تنظیمات وارد کنید:

Log4j2.formatMsgNolookups=true

  • کلاس JndiLookup را از مسیر کلاس‌ها پاک کنید. مثلا می‌توانید از دستور زیر استفاده کنید:

Zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  • با توجه به اهمیت سرویس‌های لاگ در نرم افزارهای مختلف، برای پردازش لاگ‌ها در قسمت‌های متعددی از ابزارهای توسعه داده شده توسط آپاچی مانند Apache Kafka و Elastic Searchو Log Stashو Apache Flink  استفاده می‌شود.

اقدامات لازم جهت پایش و شناسایی حملات

  • به روز رسانی امضاهای تشخیص حمله در WAF برای مقابله با حملات علیه سرویسهای وب
  • بروز رسانی و ایجاد قوانین سرویس NIDS جهت شناسایی رفتار مخاطره آمیز مرتبط با log4j و یا log4shell
  • به روز رسانی قوانین تحلیل رفتاری ترافیک جهت رصد کردن پارامترهای پروتکل HTTP
  • به روز رسانی اسکریپتهای پویشگر آسیب پذیری جهت شناسایی نرم افزارهای آسیب پذیر در سازمان

آخرین پکیج به روز رسانی محصول راوین، را بدین منظور مورد استفاده قرار دهید.

لیست برندهای متاثر از این آسیب پذیری در پیوند https://github.com/NCSC-NL/log4shell/blob/main/software/README.md آورده شده است و به طور پیوسته در حال به روز رسانی می باشد. تجهیزات خود را در آن جستجو کرده و از وضعیت آسیب پذیری آنها مطلع شوید.