اکثر متخصصان امنیت اکنون از آسیبپذیری Log4Shell که در اواخر سال ۲۰۲۱ کشف شد، آگاه هستند[۱]. هیچکس نمیداند این آسیبپذیری چه مدت قبل از کشف وجود داشته است. در چند ماه گذشته تیمهای امنیتی در تلاش بودند تا آسیبپذیری Log4Shell را که در Apache Log4j یافت میشود و یک کتابخانه جاوا است که بهطور گسترده برای ثبت پیامهای خطا در برنامهها استفاده میشود، وصله کنند[۲-۴] . فراتر از وصله، برای متخصصان امنیت مفید و آموزنده است که درک عمیقتری از این آسیبپذیری حیاتی اخیر داشته باشند.
خوشبختانه، Igor Lahav، محقق ارشد امنیت Cynet، میزبان یک وبینار است [از اینجا ثبتنام کنید] تا بینش های buzzword free را در مورد Log4Shell ارائه دهد. بر اساس پیشنمایش این وبینار توسط Cynet، این بحث شامل اشکالات نرمافزاری در Apache Log4j میشود که منجر به آسیبپذیری حیاتی میشود و همچنین بهرهبردارهایی که برای استفاده از آسیبپذیریها و گزینههای اصلاحی موجود برای محافظت از سازمان شما استفاده میشوند. این وبینار کمک خواهد کرد تا تحلیلهای گاهی بیشازحد فنی Log4Shell را که در چند ماه گذشته تحت تأثیر آن قرار گرفتهایم، درک کنیم.
Log4j چیست؟
قبل از اینکه بتوانید واقعاً بزرگی آسیبپذیری Log4Shell را درک کنید، لازم است یک فناوری زیربنایی را درک کنید. وبینار Cynet به بررسی چیستی کتابخانه Log4j و نحوه استفاده از آن در جاوا میپردازد. همچنین ویژگی مورداستفاده توسط سیستم گزارشگیری به نام Java Naming Directory Interface (JDNI) و نحوه استفاده از آن توسط log4j برای کمک به درک این آسیبپذیری را توضیح میدهد.
آسیبپذیریها
علت اصلی این آسیبپذیری، روشی است که Log4j پیامهای گزارش را پردازش میکند و این وبینار بهوضوح از اشکالات نرمافزاری عبور میکند که مکانیسم Log4j را برای مهاجمان آسیبپذیر میکند. این شامل توضیحی در مورد نحوه عملکرد تزریق JNDI و اینکه چرا میتواند منجر به مشکلاتی شود و همچنین نحوه پیکربندی Log4j از راه دور و نحوه استفاده مهاجمان از آن برای دسترسی به آن است.
بهرهبرداریها
دقیقاً چگونه مهاجمان از آسیبپذیریهای Log4j استفاده میکنند؟ Cynet حملات گامبهگامی را که در سطح اینترنت دیدهاند به اشتراک میگذارد که نشاندهنده سطح بالایی از تخصص مهاجم است. آنها نشان میدهند که چگونه مهاجمان شناساییهای استاتیک را دور میزنند و چگونه با دور زدن دو تابع رایج بررسی (allowedLdapClasses و allowLdapHosts) به اجرای کد از راه دور دست مییابند.
جلوگیری
درنهایت، مراحل Cynet شامل اقدامات کاهشی که شرکتها باید انجام دهند ازجمله مکانیابی برنامههای آسیبپذیر، گزینههای وصله، تغییرات مهم پیکربندی و وصلهسازی برنامههای شخص ثالث توضیح داده میشود. شما همچنین در مورد تشخیص بهرهبرداری Cynet Log4Shell در ویندوز و لینوکس خواهید آموخت.
نتیجهگیری
Cynet همچنین اکتشافات حاصل از چندین بررسی اخیر واکنش به حادثه، مانند بهرهبرداری فعال از آسیبپذیری Log4Shell در سرورهای VMware Horizon توسط بازیگران مختلف تهدید که از Beacon های Cobalt Strike، Cryptominers و پوستههای معکوس بدون فایل استفاده میکنند را به اشتراک خواهد گذاشت. درحالیکه ممکن است گزارشهای دیگری را خوانده باشید یا در وبینارهای دیگری شرکت کرده باشید که Log4Shell را پوشش میدهند، این وبینار همه آنها را جمعآوری میکند و آسیبپذیریها، بهرهبردارها، اصلاحهای توصیهشده و آخرین رویدادها را بهسادگی و بهوضوح طی میکند.
از اینجا در این وبینار ثبتنام کنید.
منابع
[۱] https://apa.aut.ac.ir/?p=8517
[۲] https://apa.aut.ac.ir/?p=8543
[۳] https://apa.aut.ac.ir/?p=8564
[۴] https://apa.aut.ac.ir/?p=8579
[۵] https://thehackernews.com/2022/02/cynet-log4shell-webinar-thorough-and.html
ثبت ديدگاه