آژانسهای امنیت سایبری از استرالیا، کانادا، نیوزلند، ایالاتمتحده و بریتانیا روز چهارشنبه ۲۲ دسامبر ۲۰۲۱ در پاسخ به بهرهبرداری گسترده از چندین آسیبپذیری در کتابخانه نرمافزار Log4j آپاچی توسط مهاجمان، بیانیهی مشترکی را منتشر کردند.
سازمانهای اطلاعاتی در این دستورالعمل جدید[۱و۲] گفتهاند: «این آسیبپذیریها، بهویژه Log4Shell شدید هستند. بازیگران تهدیدات سایبری بهطور فعال شبکهها را برای بهرهبرداری بالقوه از آسیبپذیری Log4Shell (CVE-2021-45046 و CVE-2021-45105) در سیستمهای آسیبپذیر اسکن میکنند. این آسیبپذیریها احتمالاً در یک دوره طولانی مورد بهرهبرداری قرار میگیرند[۳-۵].»
یک مهاجم میتواند با ارسال یک درخواست دستکاریشدهی خاص به یک سیستم آسیبپذیر که باعث میشود آن سیستم کد دلخواه را اجرا کند، از Log4Shell (CVE-2021-44228) بهرهبرداری کند. از سوی دیگر، CVE-2021-45046 امکان اجرای کد از راه دور را در پیکربندیهای غیر پیشفرض خاصی فراهم میکند، درحالیکه CVE-2021-45105 میتواند توسط یک مهاجم از راه دور برای ایجاد DoS مورداستفاده قرار گیرد.
از زمانی که این آسیبپذیریها در این ماه به اطلاع عموم رسید، سرورهای اصلاحنشده تحت محاصره گروههای باجافزار[۶] تا هکرهای دولت ملی قرار گرفتند، که از بردار حمله بهعنوان مجرایی برای دسترسی به شبکهها برای استقرار Beaconهای Cobalt Strike ،cryptominers و دژافزارهای باتنت استفاده کردند.
ارزیابیِ دفتر تحقیقات فدرال ایالاتمتحده (FBI) از این حملات، همچنین این احتمال را افزایش داده است که عوامل تهدید در حال گنجاندن نقایص در “طرحهای مجرمانه سایبری موجود هستند که به دنبال اتخاذ تکنیکهای مبهمسازی پیچیدهتر هستند.” با توجه بهشدت آسیبپذیریها و احتمال افزایش بهرهبرداری، از سازمانها خواسته میشود تا سیستمهای آسیبپذیر را در اسرع وقت شناسایی و بهروزرسانی کنند.
برای این منظور، آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) همچنین یک ابزار اسکنر را برای شناسایی سیستمهای آسیبپذیر در برابر آسیبپذیری Log4Shell منتشر کرده است[۷] که شبیه ابزار مشابهی[۸] است که توسط مرکز هماهنگی CERT (CERT/CC) منتشر شده است.
بااینحال، شرکت امنیت سایبری Rezilion، در ارزیابیای که این هفته منتشر شد، دریافت که ابزارهای اسکن تجاری برای شناسایی تمام قالبهای کتابخانه Log4j در یک محیط مجهز نیستند، زیرا این نمونهها اغلب عمیقاً در کدهای دیگر قرار دارند و “نقاط کور” در چنین ابزارهای کمکی وجود دارد که اسکن استاتیک را محدود میکنند.
Yotam Perkal، سرپرست تحقیقات آسیبپذیری در Rezilion دراینباره گفت[۹]: “بزرگترین چالش در شناسایی Log4Shell در نرمافزار بستهبندیشده در محیطهای تولید نهفته است: فایلهای جاوا (مانند Log4j) را میتوان چندلایه در عمق فایلهای دیگر قرار داد، به این معنی که یک جستجوی سطحی برای فایل آن را پیدا نمیکند. علاوه بر این، آنها ممکن است در قالبهای مختلف بستهبندی شوند که یک چالش واقعی را در حفاری آنها در داخل بستههای جاوای دیگر ایجاد میکند.”
افشای عمومی Log4Shell همچنین تعدادی از تأمینکنندگان فناوری را وادار کرده است که وصلههایی را برای نرمافزارهایی که حاوی این نقص هستند منتشر کنند. آخرین شرکتهایی که این بهروزرسانیها را منتشر کردهاند NVIDIA و HPE هستند[۱۰و۱۱] که به لیست طولانی فروشندگانی میپیوندند که توصیههای امنیتی منتشر کردهاند که جزئیات محصولاتی که تحت تأثیر این آسیبپذیری قرار گرفتهاند را منتشر کردهاند.
آخرین گامی که دولتها برداشتهاند، زمانی بود که بنیاد نرمافزار آپاچی (ASF) روز دوشنبه ۲۰ دسامبر ۲۰۲۱ بهروزرسانیهایی[۱۲] را برای سرور HTTP Apache منتشر کرد تا دو نقص[۱۳و۱۴] را برطرف کند: CVE-2021-44790 (امتیاز ۹٫۸ در مقیاس CVSS) و CVE-2021-44224 (امتیاز ۸٫۲ در مقیاس CVSS)، که اولی میتواند توسط یک مهاجم از راه دور برای اجرای کد دلخواه و کنترل سیستم آسیبدیده مسلح شود.
منابع
[۱] https://www.cisa.gov/uscert/ncas/current-activity/2021/12/22/mitigating-log4shell-and-other-log4j-related-vulnerabilities
[۲] https://www.cisa.gov/uscert/ncas/alerts/aa21-356a
[۳] https://apa.aut.ac.ir/?p=8517
[۴] https://apa.aut.ac.ir/?p=8543
[۵] https://apa.aut.ac.ir/?p=8564
[۶] https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html
[۷] https://github.com/cisagov/log4j-scanner
[۸] https://github.com/CERTCC/CVE-2021-44228_scanner
[۹] https://www.rezilion.com/blog/log4j-blindspots-what-your-scanner-is-still-missing
[۱۰] https://nvidia.custhelp.com/app/answers/detail/a_id/5294
[۱۱] https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04215en_us
[۱۲] https://downloads.apache.org/httpd/Announcement2.4.html
[۱۳] https://nvd.nist.gov/vuln/detail/CVE-2021-44790
[۱۴] https://nvd.nist.gov/vuln/detail/CVE-2021-44224
[۱۵] https://thehackernews.com/2021/12/cisa-fbi-and-nsa-publish-joint-advisory.html
ثبت ديدگاه