چگونه می‌توانید از آسیب‌پذیری Log4J در سال ۲۰۲۱ رها شوید؟

با توجه به اینکه آخرین ماه سال ۲۰۲۱ تحت سلطه کشف، افشا و انتشار وصله‌های امنیتی log4J است که با ‌سرعت زیاد ظاهر می‌شوند[۱و۲]، احتمال دارد سیستم‌های خود را در برابر تلاش‌های بهره‌برداری Log4J وصله کرده باشید. اگر همه‌ی سیستم‌ها را نیز وصله نکرده باشید، حداقل برخی از سیستم‌ها را وصله کرده‌اید. حتی ممکن است آخرین وصله یعنی نسخه ۲٫۱۷٫۱ را نصب کرده باشید. اما اگر آخرین چرخه‌ی انتشار وصله ادامه داشته باشد، ممکن است زمانی که این خبر را می‌خوانید، نسخه‌ی نهایی نیز تغییر کرده باشد.

در این میان، مدافعان ممکن است برای رفع شکاف‌های امنیتی ناشی از Log4J اضافه‌کاری کرده باشند، اما مهاجمان سایبری نیز همین کار را کردند. شهرت Log4J همچنین مهاجمان سایبری را در مورد مسیر ورود احتمالی به هدف خود آگاه کرده است و درحالی‌که امیدواریم log4J از سرفصل‌های خبرهای آسیب‌پذیری محو شود، اما مهاجمان سایبری احتمالاً به تلاش برای بهره‌برداری از آن به امید یافتن اهداف اصلاح‌نشده یا ناقص وصله شده، ادامه خواهند داد[۳].

ازآنجایی‌که خطای انسانی هنوز ۹۵ درصد از تمام نقص‌های امنیتی را تشکیل می‌دهد[۴]، مهاجمان سایبری به‌طور فعال به این خطاهای انسانی برای بهره‌برداری از آن‌ها و بهره‌گیری از حس امنیت نادرست ناشی از آن، با فرض اینکه وصله‌ها با موفقیت اعمال شده‌اند، تکیه می‌کنند.

داستان Log4J یک طوفان تمام‌عیار برای ایجاد تعداد زیادی خطای اصلاحی است زیرا ترکیبی است از:

1. استرس بیش‌ازحد: Log4J بدترین آسیب‌پذیری در طول دهه‌ها نامیده شد و توسط Cloudflare به‌عنوان «خیلی بد است که سعی می‌کنیم حداقل محافظتی را برای همه مشتریان Cloudflare به‌طور پیش‌فرض، حتی مشتریان رایگانی که WAF ما را ندارند، ارائه کنیم.” تعریف شده است. فشار برای اصلاح قبل از اینکه هر آسیب‌پذیری توسط مهاجمان سایبری مورد بهره‌برداری قرار گیرد، شدید بود. با بدتر شدن بحران با ترکیبی از انتشار وصله‌های جدید و فهرست رو به رشد فروشندگان آسیب‌دیده[۵]، سطح استرس تشدید شد. بااین‌حال، یک مطالعه ناسا در سال ۲۰۱۵ نشان می‌دهد[۶] که “استرس موقعیتی می‌تواند بر عملکرد شناختی و ماهر خلبانان و همچنین کارشناسان در سایر حوزه‌ها تأثیر منفی بگذارد.”
2. چرخه‌های وصله‌های دیوانه‌وار: بین ۶ دسامبر و ۲۷ دسامبر، چهار وصله‌ی مجزا [۷] منتشر شد که هرکدام شامل یک نسخه‌ی جدید از Log4J بود، بنابراین کاربران نیاز به ارتقاء آن به نسخه‌ی جدید داشتند. بسیاری از به‌روزرسانی‌ها در چنین زمان کوتاهی بر سطح اعتماد به ارزش وصله تأثیر منفی می‌گذارند و احتمال خطاهای وصله یا نظارت افزایش می‌یابد.
3. احتمال از دست دادن حداقل یک آسیب‌پذیری Log4J زیاد است: تمام نسخه‌های Log4J از سپتامبر ۲۰۱۳ نسخه ۲ بتا ۹ به بعد دارای این آسیب‌پذیری‌ها هستند. بااین‌حال، مانند همه فایل‌های جاوا، Log4J می‌تواند چندلایه را در اعماق فایل‌های دیگر قرار دهد و به‌راحتی می‌توان آن را در هنگام استفاده از وصله‌ها از دست داد و بدتر از آن، Log4J بسیار محبوب است و ۸۰ درصد از بسته‌های تحت تأثیر جاوا[۸] نمی‌توانند مستقیماً به‌روز شوند و برای وصله‌ی مؤثر نیاز به هماهنگی بین تیم‌های مختلف پروژه دارند. این خبر خوشایند برای مهاجمان سایبری است که احتمالاً برای ماه‌ها و سال‌های آینده به بهره‌برداری از آسیب‌پذیری Log4J ادامه می‌دهند.

بهترین دفاع در برابر بهره‌برداری‌های مرتبط با Log4J فعلی و آینده این است که تأیید کنید که وصله‌ی شما جامع و به‌اندازه کافی اعمال می‌شود. اجرای اسکنرهای آسیب‌پذیری به‌روز شده‌ی Log4J نقطه شروع خوبی است اما متأسفانه، هیچ اسکنر واحدی نمی‌تواند تمام وابستگی‌های غیرمستقیم یا گذرای Log4J را شناسایی کند، به‌خصوص زمانی که به‌عنوان یک وابستگی گذرا که فاقد تعریف صریح از Log4J باشد، وارد شود.

نقاط کور Log4J اسکنرها[۹] به این معنی است که اعتبارسنجی کارایی فرآیند وصله از طریق آزمایش offensive یک ضرورت غیر اختیاری است. این متدولوژی تعیین می‌کند که آیا قوانینی که برای انحراف درخواست‌های نادرست Log4J تنظیم کرده‌اید مؤثر هستند یا نیاز به تنظیم بیشتری است. یک روش اجرای log4J می‌تواند توسط تیم‌های قرمز خارج از جعبه استفاده شود.

با استفاده از این تکنیک‌های آزمایشِoffensive ، برخی از مشتریان به‌طور مؤثر آسیب‌پذیری‌های Log4J ناشی از زنجیره‌ی تأمین را قبل از انتشار یک وصله توسط تأمین‌کننده شناسایی کردند.

مزیت اجرای اعتبارسنجی امنیتی پیوسته‌ی جامع[۱۰] این است که درنتیجه سخت‌تر شدن کنترل‌های امنیتی شخص اول و شخص ثالث، قرار گرفتن در معرض ناشناخته‌ها را محدود می‌کند، زیرا نقاط ضعف را آشکار می‌کند و توصیه‌های عملی برای بستن آن‌ها ارائه می‌کند.

برای جلوگیری از خطرات ناشی از ترکیب مرگبار استرس حاد، چرخه وصله‌های دیوانه کننده و آسیب‌پذیری‌های پنهان، چه برای Log4J یا نمونه بزرگ بعدی و حتی کوچک، باید اعتبارسنجی مداوم را تنظیم کرد که نه‌تنها آسیب‌پذیری‌ها را اسکن می‌کند، بلکه به‌طور ایمن آزمایش می‌کند که آیا payload ایمن تولید به‌طور مؤثر شناسایی و متوقف شده است یا خیر، و به‌طور کامل اثربخشی سیاست‌های امنیتی و کنترل‌های قبل و بعد از وصله را ارزیابی می‌کند.

برای اطلاعات بیشتر به سایت cymulate.com مراجعه کنید.

منابع

[۱] https://apa.aut.ac.ir/?p=8609

[۲] https://apa.aut.ac.ir/?p=8600

[۳] https://www.techtarget.com/searchsecurity/news/252504294/Hackers-embrace-5-day-work-weeks-unpatched-vulnerabilities

[۴] https://thehackernews.com/2021/02/why-human-error-is-1-cyber-security.html

[۵] https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

[۶] https://human-factors.arc.nasa.gov/publications/NASA_TM_2015_218930-2.pdf

[۷] https://logging.apache.org/log4j/2.x/changes-report.html#a2.17.1

[۸] https://www.darkreading.com/tech-trends/the-log4j-flaw-will-take-years-to-be-fully-addressed

[۹] https://thenewstack.io/log4j-scanner-blindspots

[۱۰] https://cymulate.com/log4j-resilience-assessment

[۱۱] https://thehackernews.com/2022/01/how-can-you-leave-log4j-in-2021.html