اکسپلویت جدید از حفره امنیتی روز صفر کتابخانه Log4j به کابوس سازمانی تبدیل شده است

اکسپلویت جدید از حفره امنیتی روز صفر کتابخانه Log4j به کابوس سازمانی تبدیل شده است

اکسپلویت‌های روز صفر در کتابخانه لاگ مبتنی بر جاوا Apache Log4j در حال حاضر به صورت آنلاین به اشتراک گذاشته می‌شوند و کاربران خانگی و شرکت‌ها را به طور یکسان در معرض حملات مداوم به صورت اجرای کد از راه دور قرار می‌دهند.

اکسپلویت‌های روز صفر در کتابخانه لاگ مبتنی بر جاوا Apache Log4j در حال حاضر به صورت آنلاین به اشتراک گذاشته می‌شوند و کاربران خانگی و شرکت‌ها را به طور یکسان در معرض حملات مداوم به صورت اجرای کد از راه دور قرار می‌دهند.

کتابخانه Log4j که توسط سازمان آپاچی توسعه یافته است و به طور گسترده توسط برنامه های سازمانی و سرویس های ابری استفاده میشود که در این لینک مشاهده میکنید.

امروزه کاربران خانگی جاوا کمتر شده اند (اگرچه که بازی‌های محبوبی مانند Minecraft هنوز از آن استفاده می‌کنند)، هر چیزی از نرم‌افزار سازمانی گرفته تا برنامه‌های وب و محصولات اپل، آمازون، Cloudflare، توییتر و Steam احتمالاً در برابر اکسپلویت RCE آسیب‌پذیر است. 

 

اسکن های در حال انجام و اکسپلویت سیستم های آسیب پذیر

باگ CVE-2021-44228  که با نام های Log4Shell یا LogJam شناخته می شود، یک آسیب پذیری RCE تایید نشده است که امکان تحت کنترل گرفتن کامل سیستم را بر روی سیستم هایی که دارای Log4j 2.0-BETA9 تا 2.14.1 میباشند ممکن میکند.

این باگ توسط تیم امنیتی Alibaba Cloud در 24 نوامبر به Apache گزارش شد. آنها همچنین فاش کردند که CVE-2021-44228 بر تنظیمات پیش فرض فریمورک های متعددی از Apache از جمله Apache Struts2، Apache Solr، Apache Druid، Apache Flink و غیره تأثیر می گذارد.

دیروز، پس از انتشار اولین اکسپلویت در GitHub، هکرها شروع به اسکن اینترنت برای یافتن سیستم‌هایی کردند که از راه دورنیاز به احراز هویت ندارند و در برابر این اکسپلویت آسیب پذیر هستند.

علاوه بر این، CERT NZ (کمیسیون دولتی بررسی اضطرارهای کامپیوتری نیوزلند) هشداری امنیتی درباره این اکسپلویت های فعال صادر کرده است (همچنین توسط مدیر سازمان مهندسی - امنیت تیاگو هنریکس و کارشناس امنیتی کوین بومونت تأیید شده است).

فلوریان راث، رئیس تحقیقات Nextron Systems، مجموعه‌ای از قوانین YARA را برای شناسایی اکسپلویت های CVE-2021-44228 به اشتراک گذاشته است: در بررسی بدست آمده از چندین سرور که از Apache Log4j استفاده میکنند (کتابخانه لاگ مبتنی بر جاوا) که در برابر اتصال از راه دور آسیب پذیر هستند. 

پچ های در دسترس و کاهش آسیب پذیری

آپاچی نسخه جدی Log4j 2.15.0  را منتشر کرده تا اسیب پذیری CVE-2021-44228 RCE را به حداقل برساند. همچنین می‌توان این نقص را در نسخه‌های قبلی (2.10 به بعد) با تنظیم ویژگی سیستم "log4j2.formatMsgNoLookups" روی "true" یا حذف کلاس JndiLookup از مسیر کلاس کاهش داد.

به کسانی که از کتابخانهLog4j استفاده می کنند، توصیه می شود که در اسرع وقت به آخرین نسخه ارتقا دهند زیرا هکرها در حال جستجو برای اهداف قابل اکسپلویت هستند. تیم امنیت سایبری Randori اعلام کرد: «مانند سایر آسیب‌پذیری‌های پیشرفته مانند Heartbleed و Shellshock، ما معتقدیم که تعداد فزاینده‌ای از محصولات آسیب‌پذیر در هفته‌های آینده کشف خواهد شد».

"به دلیل سهولت بهره برداری و گستردگی کاربرد، ما به هاکر ها مشکوک هستیم که فوراً توسط باج افزار ها از این آسیب پذیری استفاده کنند."

شرکت امنیتی Lunasec همچنین بر شدت حملات با استفاده از اکسپلویت‌های CVE-2021-44228 RCE تاکید کرد.

Lunasec گفت: "بسیاری از سرویس ها در برابر این اکسپلویت آسیب پذیر هستند. سرویس های ابری مانند Steam، Apple iCloud و برنامه هایی مانند Minecraft آسیب پذیر اند."

"هرکسی که از Apache Struts استفاده می کند، احتمالا آسیب پذیر است. ما قبلاً از آسیب پذیری های مشابهی مانند نقض داده Equifax 2017 را تجربه کرده ایم."

عصر جمعه، محققان شرکت امنیت سایبری Cybereason یک بسته "واکسنی" ((vaccine package به نام Logout4Shell منتشر کردند که یک برای سرور آسیب‌پذیر به Log4j را از طریق دسترسی از راه دور، تنظیماتی را جهت کاهش آسیب‌پذیری اعمال میکند.

در 10 دسامبر، 11:46 صبح به وقت شرقی، Cloudflare به BleepingComputer گفت که سیستم‌های آن در برابر اکسپلویت CVE-2021-44228 آسیب‌پذیر نیستند.

لی آن آکوستا، مدیر روابط عمومی Cloudflare گفت: "ما موفق شدیم تا همه حوزه های احتمالی خطر را به سرعت ارزیابی کنیم و نرم افزار خود را برای جلوگیری از حملات به روز کردیم، و ادعای خارجی مبنی بر اینکه ممکن است در معرض خطر باشیم را خنثی کنیم."

منبع: www.bleepingcomputer.com