انتشار بیانیه‌ی مشترک و اسکنر آسیب‌پذیری Log4j توسط CISA ،FBI و NSA

آژانس‌های امنیت سایبری از استرالیا، کانادا، نیوزلند، ایالات‌متحده و بریتانیا روز چهارشنبه ۲۲ دسامبر ۲۰۲۱ در پاسخ به بهره‌برداری گسترده از چندین آسیب‌پذیری در کتابخانه نرم‌افزار Log4j آپاچی توسط مهاجمان، بیانیه‌ی مشترکی را منتشر کردند.

سازمان‌های اطلاعاتی در این دستورالعمل جدید[۱و۲] گفته‌اند: «این آسیب‌پذیری‌ها، به‌ویژه Log4Shell شدید هستند. بازیگران تهدیدات سایبری به‌طور فعال شبکه‌ها را برای بهره‌برداری بالقوه از آسیب‌پذیری Log4Shell (CVE-2021-45046 و CVE-2021-45105) در سیستم‌های آسیب‌پذیر اسکن می‌کنند. این آسیب‌پذیری‌ها احتمالاً در یک دوره طولانی مورد بهره‌برداری قرار می‌گیرند[۳-۵].»

یک مهاجم می‌تواند با ارسال یک درخواست دستکاری‌شده‌ی خاص به یک سیستم آسیب‌پذیر که باعث می‌شود آن سیستم کد دلخواه را اجرا کند، از Log4Shell (CVE-2021-44228) بهره‌برداری کند. از سوی دیگر، CVE-2021-45046 امکان اجرای کد از راه دور را در پیکربندی‌های غیر پیش‌فرض خاصی فراهم می‌کند، درحالی‌که CVE-2021-45105 می‌تواند توسط یک مهاجم از راه دور برای ایجاد DoS مورداستفاده قرار گیرد.

از زمانی که این آسیب‌پذیری‌ها در این ماه به اطلاع عموم رسید، سرورهای اصلاح‌نشده تحت محاصره گروه‌های باج‌افزار[۶] تا هکرهای دولت ملی قرار گرفتند، که از بردار حمله به‌عنوان مجرایی برای دسترسی به شبکه‌ها برای استقرار Beacon‌های Cobalt Strike ،cryptominers و دژافزارهای بات‌نت استفاده کردند.

ارزیابیِ دفتر تحقیقات فدرال ایالات‌متحده (FBI) از این حملات، همچنین این احتمال را افزایش داده است که عوامل تهدید در حال گنجاندن نقایص در “طرح‌های مجرمانه سایبری موجود هستند که به دنبال اتخاذ تکنیک‌های مبهم‌سازی پیچیده‌تر هستند.” با توجه به‌شدت آسیب‌پذیری‌ها و احتمال افزایش بهره‌برداری، از سازمان‌ها خواسته می‌شود تا سیستم‌های آسیب‌پذیر را در اسرع وقت شناسایی و به‌روزرسانی کنند.

برای این منظور، آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) همچنین یک ابزار اسکنر را برای شناسایی سیستم‌های آسیب‌پذیر در برابر آسیب‌پذیری Log4Shell منتشر کرده است[۷] که شبیه ابزار مشابهی[۸] است که توسط مرکز هماهنگی CERT (CERT/CC) منتشر شده است.

بااین‌حال، شرکت امنیت سایبری Rezilion، در ارزیابی‌ای که این هفته منتشر شد، دریافت که ابزارهای اسکن تجاری برای شناسایی تمام قالب‌های کتابخانه Log4j در یک محیط مجهز نیستند، زیرا این نمونه‌ها اغلب عمیقاً در کدهای دیگر قرار دارند و “نقاط کور” در چنین ابزارهای کمکی وجود دارد که اسکن استاتیک را محدود می‌کنند.

Yotam Perkal، سرپرست تحقیقات آسیب‌پذیری در Rezilion دراین‌باره گفت[۹]:  “بزرگ‌ترین چالش در شناسایی Log4Shell در نرم‌افزار بسته‌بندی‌شده در محیط‌های تولید نهفته است: فایل‌های جاوا (مانند Log4j) را می‌توان چندلایه در عمق فایل‌های دیگر قرار داد، به این معنی که یک جستجوی سطحی برای فایل آن را پیدا نمی‌کند. علاوه بر این، آن‌ها ممکن است در قالب‌های مختلف بسته‌بندی شوند که یک چالش واقعی را در حفاری آن‌ها در داخل بسته‌های جاوای دیگر ایجاد می‌کند.”

افشای عمومی Log4Shell همچنین تعدادی از تأمین‌کنندگان فناوری را وادار کرده است که وصله‌هایی را برای نرم‌افزارهایی که حاوی این نقص هستند منتشر کنند. آخرین شرکت‌هایی که این به‌روزرسانی‌ها را منتشر کرده‌اند NVIDIA و HPE هستند[۱۰و۱۱] که به لیست طولانی فروشندگانی می‌پیوندند که توصیه‌های امنیتی منتشر کرده‌اند که جزئیات محصولاتی که تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند را منتشر کرده‌اند.

آخرین گامی که دولت‌ها برداشته‌اند، زمانی بود که بنیاد نرم‌افزار آپاچی (ASF) روز دوشنبه ۲۰ دسامبر ۲۰۲۱ به‌روزرسانی‌هایی[۱۲] را برای سرور HTTP Apache منتشر کرد تا دو نقص[۱۳و۱۴] را برطرف کند: CVE-2021-44790 (امتیاز ۹٫۸ در مقیاس CVSS) و CVE-2021-44224 (امتیاز ۸٫۲ در مقیاس CVSS)، که اولی می‌تواند توسط یک مهاجم از راه دور برای اجرای کد دلخواه و کنترل سیستم آسیب‌دیده مسلح شود.

منابع

[۱] https://www.cisa.gov/uscert/ncas/current-activity/2021/12/22/mitigating-log4shell-and-other-log4j-related-vulnerabilities

[۲] https://www.cisa.gov/uscert/ncas/alerts/aa21-356a

[۳] https://apa.aut.ac.ir/?p=8517

[۴] https://apa.aut.ac.ir/?p=8543

[۵] https://apa.aut.ac.ir/?p=8564

[۶] https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html

[۷] https://github.com/cisagov/log4j-scanner

[۸] https://github.com/CERTCC/CVE-2021-44228_scanner

[۹] https://www.rezilion.com/blog/log4j-blindspots-what-your-scanner-is-still-missing

[۱۰] https://nvidia.custhelp.com/app/answers/detail/a_id/5294

[۱۱] https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us

[۱۲] https://downloads.apache.org/httpd/Announcement2.4.html

[۱۳] https://nvd.nist.gov/vuln/detail/CVE-2021-44790

[۱۴] https://nvd.nist.gov/vuln/detail/CVE-2021-44224

[۱۵] https://thehackernews.com/2021/12/cisa-fbi-and-nsa-publish-joint-advisory.html