انتشار وصله سوم برای رفع آسیب‌پذیری جدید Log4j توسط آپاچی

مشکلات مربوط به Log4j همچنان ادامه دارد زیرا بنیاد نرم‌افزار آپاچی (ASF) در روز جمعه ۱۷ دسامبر ۲۰۲۱ وصله دیگری یعنی نسخه ۲٫۱۷٫۰ را برای کتابخانه ورود به سیستم منتشر کرد که می‌توانست توسط عوامل مخرب برای اجرای حمله DoS مورد بهره‌برداری قرار گیرد.

این آسیب‌پذیری جدید که به‌عنوان CVE-2021-45105 شناسایی می‌شود (با امتیاز ۷٫۵ در مقیاس CVSS)، همه نسخه‌های این ابزار از نسخه ۲ بتا ۹ تا ۲٫۱۶٫۰ را تحت تأثیر قرار می‌دهد، که این سازمان غیرانتفاعی متن‌باز اوایل این هفته برای رفع نقص دومی که می‌تواند منجر به آن اجرای کد از راه دور (CVE-2021-45046) شود [۱]، وصله‌ای را منتشر کرد. این نقص از یک اصلاح “ناقص” برای CVE-2021-44228 ناشی می‌شود[۲] که آسیب‌پذیری Log4Shell نامیده می‌شود.

ASF در یک توصیه اصلاح‌شده دراین‌باره توضیح داد[۳]: “نسخه‌هایApache Log4j2  از نسخه ۲ آلفا ۱ تا نسخه ۲٫۱۶٫۰ از بازگشت^(۱) کنترل نشده از lookup های خودارجاعی^(۲) محافظت نمی‌کنند. هنگامی‌که پیکربندیlogging  از یک الگوی غیر پیش‌فرض با یک lookup زمینه^(۳) استفاده می‌کند (برای مثال $${ctx:loginId})، مهاجمان با کنترل داده‌های ورودی Thread Context Map (MDC) می‌توانند داده‌های ورودی مخربی را ایجاد کنند که حاوی یک lookup بازگشتی^(۴) باشد و منجر به خطای StackOverflow می‌شود که درنهایت فرآیند را خاتمه می‌دهد.”

Hideki Okamoto از Akamai Technologies و یک محقق ناشناس مسئول گزارش این نقص هستند. بااین‌حال، نسخه‌های Log4j 1.x تحت تأثیر CVE-2021-45105 قرار نمی‌گیرند.

شایان‌ذکر است که امتیاز شدت CVE-2021-45046، که در ابتدا به‌عنوان یک اشکال DoS طبقه‌بندی‌شده بود، از ۳٫۷ به ۹٫۰ بازبینی شده است تا منعکس‌کننده این واقعیت باشد که یک مهاجم می‌تواند از یک آسیب‌پذیری برای ارسال یک رشته دستکاری‌شده‌ی ویژه که منجر به نشت اطلاعات و اجرای کد از راه دور در برخی محیط‌ها و اجرای کد محلی در همه محیط‌ها می‌شود سوءاستفاده کند که گزارش[۴] قبلی محققان امنیتی در Pretorian را تائید می‌کند.

سازندگان این پروژه همچنین خاطرنشان کردند که نسخه‌های Log4j 1.x به پایان عمر خود رسیده‌اند و دیگر پشتیبانی نمی‌شوند و نقص‌های امنیتی که پس از اوت ۲۰۱۵ در این ابزار کشف شد، برطرف نمی‌شوند و از کاربران می‌خواهند برای دریافت آخرین اصلاحات، آن را به Log4j 2 ارتقا دهند.

این اصلاحات آخرین مورد در وضعیت بسیار پویا^(۵) است زیرا آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) دستورالعملی اضطراری[۵] صادر کرد و ادارات و آژانس‌های غیرنظامی فدرال را موظف کرد تا فوراً سیستم‌های اینترنت خود را برای آسیب‌پذیری‌های Apache Log4j تا ۲۳ دسامبر ۲۰۲۱ اصلاح کنند، با استناد به اینکه این نقاط ضعف “خطر غیرقابل قبولی” ایجاد می‌کنند.

این توسعه همچنین در شرایطی صورت می‌گیرد که نقص‌های Log4j به‌عنوان یک بردار حمله سودآور[۶] و نقطه کانونی^(۷) برای بهره‌برداری توسط چندین عامل تهدید، ازجمله هکرهای تحت حمایت ملت‌هایی مانند چین، ایران، کره شمالی و ترکیه و همچنین باج‌افزار Conti برای انجام مجموعه‌ای از فعالیت‌های مخرب بعدی ظاهر شده‌اند. این اولین باری است که این آسیب‌پذیری در معرض دید یک کارتل پیچیده نرم‌افزار جنایی^(۸) قرار می‌گیرد.

محققان AdvIntel گفتند[۷]: «بهره‌بردار فعلی منجر به موارد استفاده چندگانه شد که از طریق آن گروه Conti امکان استفاده از اکسپلویت Log4j 2 را آزمایش کرد. مجرمان به دنبال هدف قرار دادن سرورهای آسیب‌پذیرِ Log4j 2 VMware vCenter برای جابجایی جانبی مستقیماً از یک شبکه آسیب‌دیده بودند که منجر به دسترسی vCenter بر شبکه‌های قربانی ایالات‌متحده و اروپا از جلسات Cobalt Strike از قبل موجود شد[۸].»

ماینرهای ارزهای دیجیتال، بات‌نت‌ها، تروجان‌های دسترسی از راه دور، کارگزاران^(۹) دسترسی اولیه و یک نوع باج‌افزار جدید[۹] به نام Khonsari ازجمله موارد دیگری که از این باگ استفاده می‌کنند، هستند. شرکت امنیتی Check Point اعلام کرد که تا به امروز بیش از ۳٫۷ میلیون تلاش[۱۰] برای بهره‌برداری را ثبت کرده است که ۴۶ درصد از این نفوذها توسط گروه‌های مخرب شناخته‌شده صورت گرفته است.

منابع

[۱] https://apa.aut.ac.ir/?p=8543

[۲] https://apa.aut.ac.ir/?p=8517

[۳] https://logging.apache.org/log4j/2.x/security.html

[۴] https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html

[۵] https://www.cisa.gov/uscert/ncas/current-activity/2021/12/17/cisa-issues-ed-22-02-directing-federal-agencies-mitigate-apache

[۶] https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html

[۷] https://www.advintel.io/post/ransomware-advisory-log4shell-exploitation-for-initial-access-lateral-movement

[۸] https://www.vmware.com/security/advisories/VMSA-2021-0028.html

[۹] https://apa.aut.ac.ir/?p=8546

[۱۰] https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1

[۱۱] https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

(۱) recursion
(2) self-referential
(3) Context
(4) recursive
(5) highly dynamic
(6) focal
(7) crimeware
(8) brokers