مشکلات مربوط به Log4j همچنان ادامه دارد زیرا بنیاد نرمافزار آپاچی (ASF) در روز جمعه ۱۷ دسامبر ۲۰۲۱ وصله دیگری یعنی نسخه ۲٫۱۷٫۰ را برای کتابخانه ورود به سیستم منتشر کرد که میتوانست توسط عوامل مخرب برای اجرای حمله DoS مورد بهرهبرداری قرار گیرد.
این آسیبپذیری جدید که بهعنوان CVE-2021-45105 شناسایی میشود (با امتیاز ۷٫۵ در مقیاس CVSS)، همه نسخههای این ابزار از نسخه ۲ بتا ۹ تا ۲٫۱۶٫۰ را تحت تأثیر قرار میدهد، که این سازمان غیرانتفاعی متنباز اوایل این هفته برای رفع نقص دومی که میتواند منجر به آن اجرای کد از راه دور (CVE-2021-45046) شود [۱]، وصلهای را منتشر کرد. این نقص از یک اصلاح “ناقص” برای CVE-2021-44228 ناشی میشود[۲] که آسیبپذیری Log4Shell نامیده میشود.
ASF در یک توصیه اصلاحشده دراینباره توضیح داد[۳]: “نسخههایApache Log4j2 از نسخه ۲ آلفا ۱ تا نسخه ۲٫۱۶٫۰ از بازگشت(۱) کنترل نشده از lookup های خودارجاعی(۲) محافظت نمیکنند. هنگامیکه پیکربندیlogging از یک الگوی غیر پیشفرض با یک lookup زمینه(۳) استفاده میکند (برای مثال $${ctx:loginId})، مهاجمان با کنترل دادههای ورودی Thread Context Map (MDC) میتوانند دادههای ورودی مخربی را ایجاد کنند که حاوی یک lookup بازگشتی(۴) باشد و منجر به خطای StackOverflow میشود که درنهایت فرآیند را خاتمه میدهد.”
Hideki Okamoto از Akamai Technologies و یک محقق ناشناس مسئول گزارش این نقص هستند. بااینحال، نسخههای Log4j 1.x تحت تأثیر CVE-2021-45105 قرار نمیگیرند.
شایانذکر است که امتیاز شدت CVE-2021-45046، که در ابتدا بهعنوان یک اشکال DoS طبقهبندیشده بود، از ۳٫۷ به ۹٫۰ بازبینی شده است تا منعکسکننده این واقعیت باشد که یک مهاجم میتواند از یک آسیبپذیری برای ارسال یک رشته دستکاریشدهی ویژه که منجر به نشت اطلاعات و اجرای کد از راه دور در برخی محیطها و اجرای کد محلی در همه محیطها میشود سوءاستفاده کند که گزارش[۴] قبلی محققان امنیتی در Pretorian را تائید میکند.
سازندگان این پروژه همچنین خاطرنشان کردند که نسخههای Log4j 1.x به پایان عمر خود رسیدهاند و دیگر پشتیبانی نمیشوند و نقصهای امنیتی که پس از اوت ۲۰۱۵ در این ابزار کشف شد، برطرف نمیشوند و از کاربران میخواهند برای دریافت آخرین اصلاحات، آن را به Log4j 2 ارتقا دهند.
این اصلاحات آخرین مورد در وضعیت بسیار پویا(۵) است زیرا آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) دستورالعملی اضطراری[۵] صادر کرد و ادارات و آژانسهای غیرنظامی فدرال را موظف کرد تا فوراً سیستمهای اینترنت خود را برای آسیبپذیریهای Apache Log4j تا ۲۳ دسامبر ۲۰۲۱ اصلاح کنند، با استناد به اینکه این نقاط ضعف “خطر غیرقابل قبولی” ایجاد میکنند.
این توسعه همچنین در شرایطی صورت میگیرد که نقصهای Log4j بهعنوان یک بردار حمله سودآور[۶] و نقطه کانونی(۷) برای بهرهبرداری توسط چندین عامل تهدید، ازجمله هکرهای تحت حمایت ملتهایی مانند چین، ایران، کره شمالی و ترکیه و همچنین باجافزار Conti برای انجام مجموعهای از فعالیتهای مخرب بعدی ظاهر شدهاند. این اولین باری است که این آسیبپذیری در معرض دید یک کارتل پیچیده نرمافزار جنایی(۸) قرار میگیرد.
محققان AdvIntel گفتند[۷]: «بهرهبردار فعلی منجر به موارد استفاده چندگانه شد که از طریق آن گروه Conti امکان استفاده از اکسپلویت Log4j 2 را آزمایش کرد. مجرمان به دنبال هدف قرار دادن سرورهای آسیبپذیرِ Log4j 2 VMware vCenter برای جابجایی جانبی مستقیماً از یک شبکه آسیبدیده بودند که منجر به دسترسی vCenter بر شبکههای قربانی ایالاتمتحده و اروپا از جلسات Cobalt Strike از قبل موجود شد[۸].»
ماینرهای ارزهای دیجیتال، باتنتها، تروجانهای دسترسی از راه دور، کارگزاران(۹) دسترسی اولیه و یک نوع باجافزار جدید[۹] به نام Khonsari ازجمله موارد دیگری که از این باگ استفاده میکنند، هستند. شرکت امنیتی Check Point اعلام کرد که تا به امروز بیش از ۳٫۷ میلیون تلاش[۱۰] برای بهرهبرداری را ثبت کرده است که ۴۶ درصد از این نفوذها توسط گروههای مخرب شناختهشده صورت گرفته است.
منابع
[۱] https://apa.aut.ac.ir/?p=8543
[۲] https://apa.aut.ac.ir/?p=8517
[۳] https://logging.apache.org/log4j/2.x/security.html
[۴] https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html
[۵] https://www.cisa.gov/uscert/ncas/current-activity/2021/12/17/cisa-issues-ed-22-02-directing-federal-agencies-mitigate-apache
[۶] https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html
[۷] https://www.advintel.io/post/ransomware-advisory-log4shell-exploitation-for-initial-access-lateral-movement
[۸] https://www.vmware.com/security/advisories/VMSA-2021-0028.html
[۹] https://apa.aut.ac.ir/?p=8546
[۱۰] https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1
[۱۱] https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html
(۱) recursion
(2) self-referential
(3) Context
(4) recursive
(5) highly dynamic
(6) focal
(7) crimeware
(8) brokers
ثبت ديدگاه