بررسی و راه های مقابله با آسیب پذیری Log4j

اخیراً یک آسیب‌ پذیری بحرانی در کتابخانه Log4j مربوط به Apache یافت شده است و از آن‌ جایی که این کتابخانه کاربرد بسیاری دارد، آسیب‌ پذیری مذکور بخش بزرگی از اینترنت را تحت تاثیر خود قرار داده است. در واقع با توجه به اینکه این کتابخانه با زبان جاوا پیاده‌ سازی شده است، تقریباً هر سروری که از زبان جاوا استفاده می‌ کند (نسخه‌ های پیش از 2.14.1 کتابخانه Log4j و نسخه‌ های جاوای پیش از u2126، u2027،  u1928و 11,0,2 )، آسیب پذیر هستند.

      این مسئله برای اولین‌ بار در وب‌ سایت‌ های میزبان سرورهای Minecraft مشاهده شد. عده‌ ای متوجه شدند مهاجمان می‌ توانند با ارسال پیام این آسیب‌ پذیری را هدف قرار دهند. شرکت تحلیل امنیتی GreyNoise با انتشار توییتی گزارش داد سرور های متعددی را شناسایی کرده است که در اینترنت به‌ دنبال سیستم‌ هایی می‌ گردند که در برابر این آسیب‌ پذیری مقاوم نیستند.

     به دنبال مشخص شدن ابعاد امنیتی این آسیب‌پذیری، ناظر امنیت سایبری فدرال آلمان BSIیک هشدار قرمز که بالاترین میزان آن است، صادر و اعلام کرد که این موضوع می تواند یک «تهدید بسیار حیاتی» برای سرورهای وب باشد. در بیانیه BSI آمده است: هکرها با سوءاستفاده از یک آسیب پذیری در کتابخانه مبتنی بر جاوا به نام Log4j می‌توانند سیستم‌های تحت تأثیر را کنترل کنند. دلیل این ارزیابی توزیع بسیار وسیع محصول معیوب و تأثیر آن بر تعداد بسیار زیادی محصول دیگری است. همچنین به راحتی می‌توان از این آسیب پذیری سوءاستفاده کرد. این سازمان اعلام کرد هرچند آپدیت امنیتی Log4j قبلاً فراهم شده بود، اما تمام محصولاتی که از آن استفاده می‌کنند نیز باید آپدیت شوند. درهمین راستا به شرکت‌ها و سازمان‌ها توصیه شده اقدامات توصیه شده را انجام دهند.

  آسیب پذیری Log4j به دلیل استفاده گسترده از جاوا و log4j بسیار جدی و خطرناک است. حجم عظیمی از نرم افزار جاوا به اینترنت و سیستم های پشتیبان متصل است. با نگاهی به 110 سال گذشته، فقط می توانم به دو آسیب پذیری مشابه دیگر فکر کنم: Heartbleed، که به شما امکان می دهد به اطلاعات مربوط به سروری که باید محافظت شود، و Shellshock، که به شما امکان می دهد کد را روی یک سیستم راه دور اجرا کنید.

بر اساس گزارش بلومبرگ، آمیت یوران، مدیرعامل شرکت Tenable‌ که نرم افزار اسکن آسیب پذیری تولید می کند، اعلام کرد حفره امنیتی Log4J به حدی فراگیر است که در میان مشتریان محصولات اسکن این شرکت، حداقل سه سیستم در ثانیه وجود این حفره را گزارش می کنند.

1- کدام سیستم ها آسیب پذیر هستند

 این باگ که با شناسه CVE-202-44228 شناخته شده است و آن را با نام‌های Log4Shell و یا LogJam نیز می‌شناسند، یک آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده می‌باشد که به مهاجم اجازه می‌دهد تا به طور کامل سیستمی که  Log4j 2.0-beta9 تا نسخه 2.14.1 را در خود دارد در اختیار بگیرد.

• تیم امنیت ابری Alibaba این آسیب‌پذیری را در تاریخ 24 نوامبر (3 آذر) سال جاری به Apache اعلام کرد. آنها اعلام کردند که CVE-2021-44228 بر تنظیمات پیش فرض فریم ورک‌های مختلف Apache از جمله Apache Struts2 ،Apache Solr ،Apache Druid ،Apache Flink و دیگر فریم ورک‌های این شرکت تاثیر گذاشته است.

2- روش های کاهش خطر و مقابله با آسیب پذیری Log4j

 Apache نسخه Log4j 2.15.0 را منتشر کرده است که آسیب‌پذیری با بالاترین درجه خطر CVE-2021-44228 را به طور کامل وصله کرده است. این نسخه را می‌توان از لینک زیر دریافت کرد:

    کسانی که از این کتابخانه استفاده می‌کنند می‌بایست آخرین نسخه را به سرعت دریافت کنند، چرا که مهاجمان شدیدا به دنبال سیستم‌های آسیب پذیر می‌باشند.

    این نقص را می‌توان در نسخه‌های قدیمی این برنامه (2.10 و قبل از آن) نیز رفع کرد. کاربر می‌بایست تنظیمات   Property  مرتبط با log4j2.formatMsgNoLookups را به متغیر  True تبدیل کند و یا کلاس  JndiLookupرا از مسیر کلاس‌ها حذف نماید. برای شناسایی آسیب پذیری Apache Log4j در وب سایت خود میتوانید از Template جدید در ابزار  Nuclei استفاده کنید.