Log4Shell

اکثر متخصصان امنیت اکنون از آسیب‌پذیری Log4Shell که در اواخر سال ۲۰۲۱ کشف شد، آگاه هستند[۱]. هیچ‌کس نمی‌داند این آسیب‌پذیری چه مدت قبل از کشف وجود داشته است. در چند ماه گذشته تیم‌های امنیتی در تلاش بودند تا آسیب‌پذیری Log4Shell را که در Apache Log4j یافت می‌شود و یک کتابخانه جاوا است که به‌طور گسترده برای ثبت پیام‌های خطا در برنامه‌ها استفاده می‌شود، وصله کنند[۲-۴] . فراتر از وصله، برای متخصصان امنیت مفید و آموزنده است که درک عمیق‌تری از این آسیب‌پذیری حیاتی اخیر داشته باشند.

خوشبختانه، Igor Lahav، محقق ارشد امنیت Cynet، میزبان یک وبینار است [از اینجا ثبت‌نام کنید] تا بینش های buzzword free را در مورد Log4Shell ارائه دهد. بر اساس پیش‌نمایش این وبینار توسط Cynet، این بحث شامل اشکالات نرم‌افزاری در Apache Log4j می‌شود که منجر به آسیب‌پذیری حیاتی می‌شود و همچنین بهره‌بردارهایی که برای استفاده از آسیب‌پذیری‌ها و گزینه‌های اصلاحی موجود برای محافظت از سازمان شما استفاده می‌شوند. این وبینار کمک خواهد کرد تا تحلیل‌های گاهی بیش‌ازحد فنی Log4Shell را که در چند ماه گذشته تحت تأثیر آن قرار گرفته‌ایم، درک کنیم.

Log4j چیست؟

قبل از اینکه بتوانید واقعاً بزرگی آسیب‌پذیری Log4Shell را درک کنید، لازم است یک فناوری زیربنایی را درک کنید. وبینار Cynet به بررسی چیستی کتابخانه Log4j و نحوه استفاده از آن در جاوا می‌پردازد. همچنین ویژگی مورداستفاده توسط سیستم گزارش‌گیری به نام Java Naming Directory Interface (JDNI) و نحوه استفاده از آن توسط log4j برای کمک به درک این آسیب‌پذیری را توضیح می‌دهد.

آسیب‌پذیری‌ها

علت اصلی این آسیب‌پذیری، روشی است که Log4j پیام‌های گزارش را پردازش می‌کند و این وبینار به‌وضوح از اشکالات نرم‌افزاری عبور می‌کند که مکانیسم Log4j را برای مهاجمان آسیب‌پذیر می‌کند. این شامل توضیحی در مورد نحوه عملکرد تزریق JNDI و اینکه چرا می‌تواند منجر به مشکلاتی شود و همچنین نحوه پیکربندی Log4j از راه دور و نحوه استفاده مهاجمان از آن برای دسترسی به آن است.

بهره‌برداری‌ها

دقیقاً چگونه مهاجمان از آسیب‌پذیری‌های Log4j استفاده می‌کنند؟ Cynet حملات گام‌به‌گامی را که در سطح اینترنت دیده‌اند به اشتراک می‌گذارد که نشان‌دهنده سطح بالایی از تخصص مهاجم است. آن‌ها نشان می‌دهند که چگونه مهاجمان شناسایی‌های استاتیک را دور می‌زنند و چگونه با دور زدن دو تابع رایج بررسی (allowedLdapClasses و allowLdapHosts) به اجرای کد از راه دور دست می‌یابند.

جلوگیری

درنهایت، مراحل Cynet شامل اقدامات کاهشی که شرکت‌ها باید انجام دهند ازجمله مکان‌یابی برنامه‌های آسیب‌پذیر، گزینه‌های وصله، تغییرات مهم پیکربندی و وصله‌سازی برنامه‌های شخص ثالث توضیح داده می‌شود. شما همچنین در مورد تشخیص بهره‌برداری Cynet Log4Shell در ویندوز و لینوکس خواهید آموخت.

نتیجه‌گیری

Cynet همچنین اکتشافات حاصل از چندین بررسی اخیر واکنش به حادثه، مانند بهره‌برداری فعال از آسیب‌پذیری Log4Shell در سرورهای VMware Horizon توسط بازیگران مختلف تهدید که از Beacon های Cobalt Strike، Cryptominers و پوسته‌های معکوس بدون فایل استفاده می‌کنند را به اشتراک خواهد گذاشت. درحالی‌که ممکن است گزارش‌های دیگری را خوانده باشید یا در وبینارهای دیگری شرکت کرده باشید که Log4Shell را پوشش می‌دهند، این وبینار همه آن‌ها را جمع‌آوری می‌کند و آسیب‌پذیری‌ها، بهره‌بردارها، اصلاح‌های توصیه‌شده و آخرین رویدادها را به‌سادگی و به‌وضوح طی می‌کند.

از اینجا در این وبینار ثبت‌نام کنید.

 

منابع

[۱] https://apa.aut.ac.ir/?p=8517

[۲] https://apa.aut.ac.ir/?p=8543

[۳] https://apa.aut.ac.ir/?p=8564

[۴] https://apa.aut.ac.ir/?p=8579

[۵] https://thehackernews.com/2022/02/cynet-log4shell-webinar-thorough-and.html