جمعه 10 تیر 1401   18:11:10
 

ضعف امنیتی بسیار بحرانی روز - صفر در کتابخانه Log۴j








محققان به تازگی یک ضعف امنیتی "روز - صفر" را در کتابخانه Log۴j کشف کرده‌اند که به مهاجمان اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا کرده و امکان کنترل کامل و از راه دور سیستم را برای آن‌ها فراهم کنند.


به گزارش مرکز مدیریت راهبردی افتا، یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) از ضعف این امنیتی نیز که مربوط به کتابخانه مبتنی بر Java (Log۴j) سرورهای آپاچی است، در حال حاضر به‌صورت آنلاین منتشر و به اشتراک گذاشته‌شده است.

این آسیب‌پذیری، حملاتی از نوع RCE (اجرای کد از راه دور) را برای مهاجمان فراهم می‌کند که کاربران خانگی و سازمان‌ها را در معرض خطر قرار می‌دهد.

Log۴j توسط بنیاد نرم‌افزاری آپاچی(Apache Software Foundation)  توسعه‌یافته و به‌طور گسترده در برنامه‌های کاربردی سازمانی و سرویس‌های ابری مورداستفاده قرارگرفته است. ضعف امنیتی موجود در این کتابخانه که به تازگی منتشرشده، Log۴Shell یا LogJam نامیده می‌شود و دارای شناسه CVE-۲۰۲۱-۴۴۲۲۸ است.

درجه شدت این آسیب‌پذیری ۱۰ از ۱۰ (بر طبق استاندارد CVSS) و با درجه اهمیت "حیاتی" (Critical) گزارش‌شده است.

این باگ به مهاجمان اجازه می‌دهد تا اسکریپت‌ها را روی سرورهای موردنظر دانلود و اجرا کرده و امکان کنترل کامل و از راه دور سیستم را برای مهاجمان در سیستم‌های آسیب‌پذیر دارای Log۴j ۲,۰-beta۹ تا ۲/۱۴/۱ فراهم می‌کند.

سوءاستفاده از این ضعف امنیتی نیازی به احراز هویت ندارد و برای اجرای آن نیازی به تخصص فنی سطح بالا نیست.

Log۴j فقط یک کتابخانه در Java نیست، همان‌طور که در نشانی زیر به آن اشاره‌شده، این کتابخانه در بسیاری از سرویس‌ها و سرورها تعبیه‌شده است. بخش قابل‌توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و محصولات اپل، آمازون، کلودفلر، توییتر، استیم، انواع مختلف سرورهای آپاچی و الستیک سرچ احتمالاً در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، آسیب‌پذیر هستند.
سازمان‌ها و شرکت‌های امنیتی مختلف هشدار داده‌اند که مهاجمان در حال تلاش برای پویش اینترنت، جستجوی اهداف آسیب‌پذیر و آلوده کردن سرویس‌های مختلف وب هستند. تعداد کل پویش‌ها با استفاده از Log۴Shell در یک روز سه برابر افزایش‌یافته است. درحالی‌که اکثر پویش‌ها هدف خاصی ندارند، به نظر می‌رسد حدود ۲۰ درصد از تلاش‌ها برای جستجوی سرویس‌های آسیب‌پذیر Apache Solr هستند.

شرکت بیت دیفندر نیز در نشانی زیر با استناد به ترافیک ایجادشده در سرویس‌های Honeypot این شرکت و به دلیل سهولت بهره‌برداری و گستردگی کاربرد کتابخانه Log۴j در سرورها و نرم‌افزارها هشدار داده است که مهاجمان از آسیب‌پذیری و گستردگی کتابخانه اطلاع دارند و احتمالاً شاهد شروع کارزاری بسیار طولانی هستیم.
بااین‌حال تخمین اثرات مخرب ضعف امنیتی Log۴Shell بسیار دشوار است زیرا باتوجه‌به پیشینه وصله‌ها (حتی برای آسیب‌پذیری‌های با شدت بالا)، اعمال وصله در تمامی سیستم‌ها، مستلزم صرف زمان بسیار زیادی است. حتی با وجود اعمال وصله‌ها، معمولاً شاهد حملاتی هستیم که با سوءاستفاده از آسیب‌پذیری‌های وصله شده دو یا سه‌ساله با موفقیت اجرا می‌شوند.
تیم امنیتی Alibaba Cloud، در ۳ آذر ۱۴۰۰، در نشانی زیر این آسیب‌پذیری را به شرکت آپاچی گزارش کرد.
ازآنجایی‌که برخی از توابع Apache Log۴j۲ دارای توابع تحلیلی بازگشتی هستند، مهاجمان می‌توانند مستقیماً درخواست‌های مخرب ایجاد و از آسیب‌پذیری به‌صورت اجرای کد از راه دور سوءاستفاده کنند. بهره‌برداری از این آسیب‌پذیری نیازی به پیکربندی خاصی ندارد. شرکت آپاچی نیز تأیید کرد که ضعف امنیتی CVE-۲۰۲۱-۴۴۲۸ بر پیکربندی‌های پیش‌فرض چندین بستر آپاچی از جمله Apache Struts۲، Apache Solr، Apache Druid، Apache Flink و غیره تأثیر می‌گذارد.
 
شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم شدت آسیب‌پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرده است.

همچنین می‌توان شدت این ضعف امنیتی را در نسخه‌های قبلی (۲,۱۰ به بعد) با تنظیم ویژگی سیستم ""log۴j۲.formatMsgNoLookups به گزینه "true" یا حذف کلاس JndiLookup از classpath کاهش داد.

به راهبران امنیتی سازمان‌ها توصیه اکید می‌شود با مراجعه به نشانی زیر توصیه‌نامه آپاچی را مطالعه کرده و این کتابخانه را به آخرین نسخه ارتقاء دهند.
منابع:



کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 77752
تعداد بازديد کنندگان سايت: 190034128 تعداد بازديد زيرپورتال: 80032 اين زيرپورتال امروز: 23 سایت در امروز: 5690 تعداد حاضران آنلاین: 22
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768