شرکت زیرساختهای وب Cloudflare روز چهارشنبه ۱۵ دسامبر ۲۰۲۱ فاش کرد که عوامل تهدید فعالانه تلاش میکنند تا از دومین باگ[۱] افشاشده در ابزار لاگ Log4j که بهطور گسترده مورداستفاده قرار گرفته است بهرهبرداری کنند، و این امر ضروری است که مشتریان بهسرعت نسبت به نصب آخرین نسخه اقدام کنند زیرا رگباری از حملات با انواع دژافزارها همچنان سیستمهای اصلاحنشده را تحتفشار قرار میدهند.
آسیبپذیری جدید که شناسه CVE-2021-45046 را به خود اختصاص داده است[۲]، حملات انکار سرویس (DoS) را برای دشمنان امکانپذیر میکند و به دنبال افشای بنیاد نرمافزار آپاچی (ASF) است که اصلاح اصلی برای اجرای کد از راه دور اشکال CVE-2021-44228 با نام مستعار Log4Shell “در پیکربندیهای غیر پیشفرض خاصی ناقص بود.” این مشکل از آن زمان در Log4j نسخه ۲٫۱۶٫۰ برطرف شده است.
Andre Bluehs و Gabriel Gabor از Cloudflare دراینباره میگویند[۳]: «این آسیبپذیری فعالانه مورد بهرهبرداری قرار میگیرد و هرکسی که از Log4j استفاده میکند باید در اسرع وقت به نسخه ۲٫۱۶٫۰ بهروزرسانی شود، حتی اگر قبلاً به نسخه ۲٫۱۵٫۰ بهروزرسانی کرده باشید».
حتی نگرانکنندهتر، محققان شرکت امنیتی Praetorian نسبت به سومین ضعف امنیتی[۴] جداگانه در Log4j نسخه ۲٫۱۵٫۰ هشدار دادند که میتواند «در شرایط خاص اجازه خروج دادههای حساس را بدهد». جزئیات فنی بیشتر از این نقص برای جلوگیری از بهرهبرداری بیشتر پنهان شده است، اما بلافاصله مشخص نیست که آیا قبلاً در نسخه ۲٫۱۶٫۰ به آن پرداخته شده است یا خیر.
Anthony Weems، مهندس امنیت در Pretorian به هکر نیوز دراینباره گفت: «۲٫۱۶ جستجوهای JNDI را بهطور پیشفرض غیرفعال میکند و درنتیجه ایمنترین نسخه Log4j2 است که ما از آن آگاه هستیم. کمیته مدیریت پروژه خدمات لاگ آپاچی (PMC) تائید کرد که “ما با مهندس Pretorian در تماس بودهایم تا ماهیت و دامنه مشکل را بهطور کامل درک کنیم.”
آخرین پیشرفت در حالی صورت میگیرد که گروههای تهدیدکننده پیشرفته از چین، ایران، کره شمالی و ترکیه، با احتساب [۵]Hafnium و [۶]Phosphorus، برای عملیاتی کردن این آسیبپذیری و کشف و بهرهبرداری هرچه بیشتر سیستمهای حساس برای دنبال کردن، وارد میدان شدهاند. در این حملات بیش از ۱٫۸ میلیون تلاش [۷] برای بهرهبرداری از آسیبپذیری Log4j تاکنون ثبت شده است [۸].
مرکز اطلاعات تهدید مایکروسافت (MSTIC) گفت همچنین دلالان دسترسی را مشاهده کرده است که از نقص Log4Shell برای دسترسی اولیه به شبکههای هدف که سپس به سایر باجافزارهای وابسته فروخته میشوند، استفاده میکنند. علاوه بر این، دهها خانواده دژافزاری که طیف وسیعی از استخراجکنندههای سکه ارزهای دیجیتال و تروجانهای دسترسی از راه دور تا باتنتها و web shell ها را اجرا میکنند، با بهرهگیری از این نقص تا به امروز شناسایی شدهاند.
درحالیکه برای عوامل تهدید معمول است که قبل از اصلاح، برای بهرهبرداری آسیبپذیریهای جدید افشاشده تلاش کنند، نقص Log4j از خطرات ناشی از زنجیره تأمین نرمافزار بهره میبرد، زمانی که یک قطعه کلیدی نرمافزار در محدوده وسیعی از محصولات در چندین فروشنده استفاده میشود و توسط مشتریان خود در سراسر جهان به کار میرود.
شرکت امنیت سایبری صنعتی Dragos خاطرنشان کرد[۹]: “این آسیبپذیری cross-cutting، که از نوع vendor-agnostic است و نرمافزارهای اختصاصی و منبع باز را تحت تأثیر قرار میدهد، بخش وسیعی از صنایع را در معرض بهرهبرداریِ از راه دور قرار میدهد. ازجمله برق، آب، غذا و نوشیدنی، تولید، حملونقل و غیره.”
این شرکت افزود: «ازآنجاییکه مدافعان شبکه مسیرهای بهرهبرداری سادهتر را میبندند و دشمنان پیشرفته این آسیبپذیری را در حملات خود وارد میکنند، تغییرات پیچیدهتری از اکسپلویتهای Log4j با احتمال بیشتری برای تأثیر مستقیم بر شبکههای فناوری عملیاتی ظاهر میشود.
منابع
[۱] https://apa.aut.ac.ir/?p=8543
[۲] https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046
[۳] https://blog.cloudflare.com/protection-against-cve-2021-45046-the-additional-log4j-rce-vulnerability
[۴] https://www.praetorian.com/blog/log4j-2-15-0-stills-allows-for-exfiltration-of-sensitive-data
[۵] https://apa.aut.ac.ir/?p=7868
[۶] https://thehackernews.com/2021/07/iranian-hackers-posing-as-scholars.html
[۷] https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1
[۸] https://youtu.be/bxDEJDqANig
[۹] https://www.dragos.com/blog/industry-news/implications-of-log4j-vulnerability-for-ot-networks/
[۱۰] https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html
ثبت ديدگاه