روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بسیاری از منابع خبری امنیت اطلاعات گزارش داده‌اند که آسیب‌پذیری مهمی با عنوان  CVE-2021-44228 در آرشیو Apache Log4j کشف شده است (CVSS سطح وخامت آن را 10از 10 اعلام کرده است). میلیون‌ها اپ جاوا از این آرشیو برای لاگ کردن پیام‌های خطا استفاده می‌کنند. بدتر اینکه مهاجمین هم‌اکنون در حال اکسپلویت کردن این آسیب‌پذیری هستند. با ما همراه بمانید تا مفصل‌تر به این موضوع بپردازیم.

Apache Foundation با توجه به شرایط پیش‌آمده توصیه می‌کند همه توسعه‌دهندگان آرشیو خود را به نسخه 2.15.0 آپدیت کنند و اگر این امکان برایشان وجود داشت از یکی از متودهای شرح‌شده در صفحه آسیب‌پذیری‌های امنیتی Apache Log4j کمک گیرند.

چرا CVE-2021-44228 خطرناک است؟

CVE-2021-44228 که همچنین Log4Shell یا LogJam نام دارد یک آسیب‌پذیریِ سطح اجرای کد ریموت (RCE) است. اگر مهاجمین تصمیم بگیرند آن را روی یکی از سرورها اکسپلویت کنند قابلیت اجرای کد دلخواه را بدست خواهند آورد و به طور بالقوه می‌توانند کنترل کل سیستم را در دست گیرند. آنچه CVE-2021-44228 را به شدت خطرناک می‌سازد راحتیِ اکسپلویتی آن است؛ حتی هکر نابلد هم می‌تواند با موفقیت به این آسیب‌پذیری حمله کند. به نقل از محققین، مهاجمین تنها نیاز است اپ را مجبور کنند یک رشته در لاگ بنویسند و بعد از آن دیگر خواهند توانست کد خود را در اپ آپلود کنند. اثبات مفهوم‌های مخصوص حملات از طریق CVE-2021-44228 هم‌اکنون در فضای اینترنت موجود است. از این رو، جای تعجب نیست که شرکت‌های امنیت سایبری دارند اسکن‌های شبکه‌ایِ بزرگی انجام می‌دهند تا طی آن به اپ‌های آسیب‌پذیر برسند و به نقاط طلایی هجوم بیاورند. این آسیب‌پذیری را ابتدا شن ژائویون از تیم امنیتی کلود علی‌بابا کشف کرد.

Apache Log4J چیست و چرا این آرشیو چنین محبوبیتی بدست آورده؟

Apache Log4j بخشی از پروژه‌ی  Apache Logging است. به طور کلی استفاده از این آرشیو یکی از آسانترین روش‌های لاگ خطاست و برای همین هم هست که بیشتر توسعه‌دهندگان جاوا از آن استفاده می‌کنند. بسیاری از شرکت‌های بزرگ نرم‌افزاری و سرویس‌های آنلاین از آرشیو  Log4j استفاده می‌کنند؛ برای مثال آمازون، اپل آی‌کلود، سیسکو، کلودفر، الستیک‌سرچ، ردهت، استیم، تسلا، توییتر و کلی شرکت دیگر. به دلیل محبوبیت این آرشیو برخی از محققین امنیت اطلاعات احتمال می‌دهند طی چند روز آینده حملات به سرورهای آسیب‌پذیری افزایش قابل‌ملاحظه‌ای داشته باشد.

چه نسخه‌هایی از Log4j آسیب‌پذیرند و چطور می‌شود از سرور خود در برابر حملات محافظت کنیم؟

تقریباً همه نسخه‌های Log4j آسیب‌پذیرند از 2.0-beta9 گرفته تا 2.14.1. ساده‌ترین و مؤثرترین روش محافظت، نصب جدیدترین نسخه این آرشیو یعنی 2.15.0 است. شما می‌توانید آن را روی صفحه پروژه دانلود کنید. اگر بنا به دلایلی آپدیت این آرشیو برایتان مقور نیست Apache Foundation توصیه می‌کند از یکی از متودهای تخفیف خطر استفاده کنید. در مورد نسخه‌های 2.10 تا 2.14.1 Log4J توصیه می‌کنند که ویژگی سیستم log4j2.formatMsgNoLookups را راه‌اندازی کرده یا متغیر محیطیِ the LOG4J_FORMAT_MSG_NO_LOOKUPS را روی True تنظیم کنید. به منظور محافظت از نسخه‌های اولیه Log4j (از 2.0-beta9 تا 2.10.0)، توسعه‌دهندگان آرشیو توصیه می‌کنند JndiLookup را از مسیر کلاس: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class حذف کنید. افزون بر این، توصیه می‌کنیم روی سرورهای خود راهکارهای امنیتی نصب کنید؛ در بسیاری از موارد این کار باعث خواهد شد اجرای کد مخرب را شناسایی کرده و جلوی پیشروی مهاجمین را بگیرید.  

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.