کمیته رکن چهارم – بنیاد نرمافزاری آپاچی در پی کشف چهارمین ضعف امنیتی هفتههای اخیر در کتابخانه Log۴j بهروزرسانی دیگری برای نسخه ۲,۱۷.۱ این کتابخانه منتشر کرده است.
بنیاد نرمافزاری آپاچی (Apache Software Foundation) در پی کشف چهارمین ضعف امنیتی هفتههای اخیر در کتابخانه Log۴j به شناسه CVE-۲۰۲۱-۴۴۸۳۲ بهروزرسانی دیگری – نسخه ۲,۱۷.۱ – را برای این کتابخانه منتشر کرده است.
تا قبل از این،نسخه ۰/۱۷/۲ امنترین نسخه برای ارتقای Log۴j به نظر میرسید، اما با شناسایی آسیبپذیری از نوع اجرای کد از راه دور (Remote Code Execution – به اختصار RCE) در آن، نسخه ۱/۱۷/۲ برای ترمیم این ضعف امنیتی منتشر شد.
سوءاستفاده گسترده از اولین آسیبپذیری اخیر در این کتابخانه (با شناسه CVE-۲۰۲۱-۴۴۲۲۸) که Log۴Shell یا LogJam نامیده شده بود، پس از انتشار یک نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC) در GitHub از حدود ۱۸ آذر آغاز شد.
باتوجه به استفاده گسترده Log۴j در اکثر برنامههای Java و این واقعیت که سوءاستفاده از ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۴۲۲۸، نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، این آسیبپذیری به کابوسی برای سازمان ها و دولت ها در سراسر جهان تبدیل شده است، ازاین رو، شرکت آپاچی نسخه Log۴j ۲,۱۵.۰ را برای ترمیم آسیب پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
مهاجمان باج افزار Conti همچنان در حال سوءاستفاده از ضعف امنیتی Log۴Shell این کتابخانه برای دسترسی سریع به VMware vCenter Server و رمزگذاری ماشینهای مجازی در سیستمهای وصله نشده و آسیب پذیر هستند.
این در حالی است که مهاجمان، به پلتفرم رمزنگاری ویتنامی با نام ONUS نیز از طریق log۴shell نفوذ و درخواست ۵ میلیون دلار باج کردهاند.
پس از گذشت چند روز از کشف نخستین ضعف امنیتی در کتابخانه Log۴j، دومین آسیبپذیری موجود در نسخه ۰/۱۵/۲ این کتابخانه به شناسه CVE-۲۰۲۱-۴۵۰۴۶ کشف شد. بنیاد آپاچی، نسخه ۰/۱۶/۲ را به منظور رفع ضعف امنیتی CVE-۲۰۲۱-۴۵۰۴۶ منتشر کرد و اعلام کرد که به طور کامل این باگ را برطرف کرده است. بااین وجود، نسخه ۲.۱۶.۰ Log۴j نیز همچنان دارای آسیبپذیری به شناسه CVE-۲۰۲۱-۴۵۱۰۵ از نوع Infinite Recursion بوده است و مهاجمان می توانند ازآن جهت حمله منع سرویس (Denial-of-Service – به اختصار DoS) سوءاستفاده کنند.
برای رفع سومین آسیبپذیری، بنیاد آپاچی نسخه ۰/۱۷/۲ (سومین نسخه ) را برای کتابخانه Log۴j منتشر کرد. این نسخه ایمن ترین نسخه تلقی میشد.
اما اکنون آسیب پذیری دیگری از نوع RCE با شناسه CVE-۲۰۲۱-۴۴۸۳۲ در نسخه ۰/۱۷/۲ شناسایی شده که منجر به انتشار نسخه جدیدتر ۱/۱۷/۲ جهت ترمیم آن شده است. این ضعف امنیتی دارای درجه اهمیت «متوسط» (Moderate) و شدت ۶,۶ از ۱۰ (بر طبق استاندارد CVSS) است. آسیبپذیری مذکور ناشی از فقدان کنترل های لازم در دسترس JDNI در Log۴j است.
این باگ این طور توصیف شده است که JDBC Appender باید هنگام دسترسی به JNDI از JndiManager استفاده کند. دسترسی JNDI باید از طریق یکی از ویژگی های سیستم کنترل شود.
سوءاستفاده از ضعف امنیتی CVE-۲۰۲۱-۴۴۸۳۲ موجب می شود که مهاجم با استفاده از یک JDBC Appender با منبع داده ای که به JNDI URI ارجاع می دهد، مجوز تغییر پیکربندی فایل ورود (Logging Configuration File) را دریافت کرده و ضمن ایجاد یک پیکربندی مخرب، از راه دور کد مخرب دلخواه را اجرا کند.
گروههای مختلف مهاجمان سایبری تاکنون از آسیبپذیریهای کتابخانه log۴j از سیستمهای آسیبپذیر نقاط مختلف جهان، بسیار سوءاستفاده کردهاند.
به راهبران امنیتی توصیه میشود به منظور درامان ماندن از حمله مهاجمان در اسرع وقت، کتابخانه Log۴j را به جدیدترین نسخه ۱/۱۷/۲ (Java ۸)، ۲,۱۲.۴ (Java ۷) و ۲.۳.۲ (Java ۶) ارتقا دهند.
منبع : افتانا
