Log4Shell: آسیب پذیری حیاتی در آپاچی Log4j

رسانه های خبری امنیت اطلاعات مختلف در مورد کشف آسیب پذیری حیاتی CVE-2021-44228 در کتابخانه Apache Log4j گزارش دادند (سطح شدت CVSS 10 از 10). میلیون ها برنامه جاوا از این کتابخانه برای ثبت پیام های خطا استفاده می کنند. بدتر از آن، مهاجمان در حال حاضر فعالانه از این آسیب پذیری سوء استفاده می کنند. به همین دلیل، بنیاد آپاچی به همه توسعه دهندگان توصیه می کند که کتابخانه را به نسخه 2.15.0 به روز کنند و اگر این امکان وجود ندارد، از یکی از روش های توضیح داده شده در صفحه آسیب پذیری های امنیتی Apache Log4j استفاده کنید.

Why CVE-2021-44228. بسیار خطرناک است

CVE-2021-44228، که Log4Shell یا LogJam نیز نامیده می شود، یک آسیب پذیری کلاس Remote Code Execution (RCE) است. اگر مهاجمان موفق به سوء استفاده از آن بر روی یکی از سرورها شوند، توانایی اجرای کد دلخواه را به دست می آورند و به طور بالقوه کنترل کامل سیستم را در دست می گیرند. می تواند با استفاده از این آسیب پذیری یک حمله را با موفقیت اجرا کند. به گفته محققان، مهاجمان فقط باید برنامه را مجبور کنند که فقط یک رشته را در گزارش بنویسد و پس از آن به دلیل عملکرد جایگزینی جستجوی پیام، می توانند کد خود را در برنامه آپلود کنند. (PoC) برای حملات از طریق CVE-2021-44228 در حال حاضر در اینترنت موجود است. بنابراین، جای تعجب نیست که شرکت‌های امنیت سایبری در حال حاضر اسکن‌های شبکه گسترده را برای برنامه‌های آسیب‌پذیر و همچنین حملات به honeypots ثبت می‌کنند.

این آسیب‌پذیری توسط Chen Zhaojun از Alibaba Cloud Security Team کشف شد. کتابخانه تا این حد محبوب است؟

Apache Log4j بخشی از پروژه Apache Logging است. به طور کلی، استفاده از این کتابخانه یکی از ساده ترین راه ها برای ثبت خطاها است، و به همین دلیل است که اکثر توسعه دهندگان جاوا از آن استفاده می کنند. ، Cloudflare، ElasticSearch، Red Hat، Steam، Tesla، Twitter و بسیاری موارد دیگر. از آنجایی که این کتابخانه بسیار محبوب است، برخی از محققان امنیت اطلاعات انتظار دارند حملات به سرورهای آسیب‌پذیر در چند روز آینده افزایش یابد.

#Log4Shell pic.twitter.com/1bKDwRQBqt

— Florian Roth 10 دسامبر 2021

کدام نسخه‌های کتابخانه Log4j آسیب‌پذیر هستند و چگونه از سرور خود در برابر حملات محافظت کنیم؟ ساده ترین و موثرترین روش حفاظت، نصب آخرین نسخه کتابخانه، 2.15.0 است. می‌توانید آن را در صفحه پروژه دانلود کنید.

اگر به دلایلی به‌روزرسانی کتابخانه امکان‌پذیر نیست، بنیاد آپاچی استفاده از یکی از روش‌های کاهش را توصیه می‌کند. در مورد نسخه‌های Log4J از 2.10 تا 2.14.1، آنها توصیه می‌کنند ویژگی سیستم log4j2.formatMsgNoLookups یا متغیر محیطی LOG4J_FORMAT_MSG_NO_LOOKUPS را روی true تنظیم کنید.

برای محافظت از نسخه‌های قبلی .1. ، توسعه دهندگان کتابخانه توصیه می کنند کلاس JndiLookup را از مسیر کلاس حذف کنید: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.

علاوه بر این، توصیه می کنیم راه حل های امنیتی را روی سرورهای خود نصب کنید — در بسیاری از موارد این به شما امکان می دهد راه اندازی کدهای مخرب را شناسایی کرده و مانع از آن شوید. توسعه حمله.

(function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id)){return}js=d.createElement(s);js.id= id;js.src="https://connect.facebook.net/en_US/all.js";fjs.parentNode.insertBefore(js,fjs)}(document,"script","facebook-jssdk "))؛ .