هشدارهای امنیتی پادویش

آسیب پذیری خطرناک Log4j و راه های شناسایی آن

Log4j
کدهای POC مرتبط با آسیب‌پذیری حیاتی روز صفر در برنامه شناخته شده Apache Log4j که مبتنی بر زبان جاواست در حال حاضر به صورت گسترده‌ای درحال انتشار است و کاربران خانگی و سازمانی را در معرض حملات “اجرای کد از راه دور” قرار می‌دهد.

Log4j به وسیله بنیاد Apache توسعه داده شده و در برنامه‌های سازمانی و خدمات ابری به صورت وسیعی به کار می‌رود.

در حالی که کاربران خانگی شاید چندان از زبان جاوا استفاده نکنند ( البته می‌بایست در این میان علاقه‌مندان به بازی Minecraft را مستثنی دانست)، هر چیزی از نرم‌افزارهای سازمانی گرفته تا برنامه‌های مبتنی بر وب تولید شرکت‌های بزرگی چون Apple ،Amazon ،Twitter و Steam به میزان وسیعی هدف این آسیب‌پذیری به شمار می‌آیند.

کدام سیستم‌ها آسیب‌پذیر هستند؟

این باگ که با شناسه CVE-202-44228 شناخته شده است و آن را با نام‌های Log4Shell و یا LogJam نیز می‌شناسند، یک آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده می‌باشد که به مهاجم اجازه می‌دهد تا به طور کامل سیستمی که Log4j 2.0-beta9 تا نسخه 2.14.1 را در خود دارد در اختیار بگیرد.

تیم امنیت ابری Alibaba این آسیب‌پذیری را در تاریخ 24 نوامبر (3 آذر) سال جاری به Apache اعلام کرد. آنها اعلام کردند که CVE-2021-44228 بر تنظیمات پیش فرض فریم ورک‌های مختلف Apache از جمله Apache Struts2 ،Apache Solr ،Apache Druid ،Apache Flink و دیگر فریم ورک‌های این شرکت تاثیر گذاشته است.

بعد از ارائه اولین POC که در 9 دسامبر (18 آذر) سال جاری در سایت GitHub منتشر شد، عاملان تهدید شروع به اسکن اینترنت کردند تا سیستم‌های آسیب‌پذیر نسبت به این نقص امنیتی حساس را بیابند.

سرپرست تیم تحقیق Nextron Systems نیز مجموعه‌ای از YARA ruleها را منتشر کرده است که هرگونه تلاش برای استفاده از این آسیب‌پذیری را شناسایی می‌کند.

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

روش‌های کاهش خطر و مقابله با آسیب پذیری

  • Apache نسخه Log4j 2.15.0 را منتشر کرده است که آسیب‌پذیری با بالاترین درجه خطر CVE-2021-44228 را به طور کامل وصله کرده است. این نسخه را می‌توان از لینک زیر دریافت کرد:

https://logging.apache.org/log4j/2.x/download.html

کسانی که از این کتابخانه استفاده می‌کنند می‌بایست آخرین نسخه را به سرعت دریافت کنند، چرا که مهاجمان شدیدا به دنبال سیستم‌های آسیب پذیر می‌باشند.

  • این نقص را می‌توان در نسخه‌های قدیمی این برنامه (2.10 و قبل از آن) نیز رفع کرد. کاربر می‌بایست تنظیمات Property مرتبط با “log4j2.formatMsgNoLookups” را به متغیر True تبدیل کند و یا کلاس JndiLookup را از مسیر کلاس‌ها حذف نماید.
همچنین می‌توانید برای مطالعه بررسی فنی این آسیب پذیری به سایت پایگاه دانش پشتیبانی امن پرداز مراجعه نمایید.

 

مطالب مرتبط

Security Alert

مراقب کمپین فیشینگ “کالا برگ” باشید!

درب پشتی در کتابخانه XZ

متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس

‫‏‫افزایش چشمگیر حملات به سرورهای MSSQL