كان هناك الكثير من الحديث على الشبكة حول الثغرة الأمنية في Log4J الذي يسمح للمهاجم بتشغيل تنفيذ تعليمات برمجية عشوائية عن بُعد إذا كان لديك القدرة على إرسال البيانات إلى تطبيق يستخدم مكتبة log4j لتسجيل الحدث.
هذا الهجوم يمكن القيام به دون المصادقةعلى سبيل المثال ، من خلال الاستفادة من صفحة المصادقة التي تسجل أخطاء المصادقة.
هذا الخلل جعل الشركات المتخصصة في الأمن السيبراني تعمل على الحدث ويشير إلى أن عدد الهجمات التي تستفيد من هذا الخلل آخذ في الازدياد.
Los miembros de طورت Apache Software Foundation تصحيحًا من أجل تصحيح الثغرة الأمنية وهو الإصدار 2.15.0 ، بالإضافة إلى حقيقة أنه تم أيضًا الإعلان عن الحلول الممكنة لتقليل المخاطر.
ما هو Apache Log4j؟ ما مدى خطورة الخطأ؟
بالنسبة لأولئك الذين ما زالوا لا يعرفون مدى خطورة المشكلة ، يمكنني أن أخبركم بذلك في 9 ديسمبر ، تم اكتشاف ثغرة أمنية في lلتسجيل المكتبة log4j اباتشي.
هذه المكتبة تستخدم على نطاق واسع في مشاريع تطوير التطبيقات Java / J2EE بالإضافة إلى موفري حلول البرامج المستندة إلى Java / J2EE القياسية.
log4j يتضمن آلية بحث يمكن استخدامها للاستعلام عبر بناء جملة خاص في سلسلة تنسيق. على سبيل المثال ، يمكن استخدامه لطلب معلمات متنوعة مثل إصدار بيئة Java عبر $ {java: version} وما إلى ذلك.
ثم تحديد مفتاح jndi في السلسلة ، آلية البحث استخدم واجهة برمجة تطبيقات JNDI. بشكل افتراضي ، يتم إجراء جميع الطلبات باستخدام البادئة java: comp / env / *؛ ومع ذلك ، طبق المؤلفون خيار استخدام بادئة مخصصة باستخدام نقطتين في المفتاح.
هذا هو المكان الذي تكمن فيه الثغرة الأمنية: يتم استخدام sijndi: ldap: // كمفتاح ، وينتقل الطلب إلى خادم LDAP المحدد. يمكن أيضًا استخدام بروتوكولات الاتصال الأخرى مثل LDAPS و DNS و RMI.
لذلك ، يمكن للخادم البعيد الذي يتحكم فيه مهاجم أن يعيد كائنًا إلى خادم ضعيف ، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية على النظام أو تسرب بيانات سرية.
كل ما على المهاجم فعله هو إرسال سلسلة خاصة من خلال الآلية التي تكتب هذه السلسلة في ملف السجل وبالتالي تدار بواسطة مكتبة Log4j.
يمكن القيام بذلك من خلال طلبات HTTP البسيطة ، على سبيل المثال تلك المرسلة من خلال نماذج الويب وحقول البيانات وما إلى ذلك ، أو مع أي نوع آخر من التفاعلات باستخدام التسجيل من جانب الخادم.
وصف Tenable الضعف بأنه "أهم نقاط الضعف في العقد الماضي."
تم بالفعل نشر إثبات المفهوم. يتم الآن استغلال هذه الثغرة الأمنية بنشاط.
شدة الضعف بحد أقصى 10 على مقياس CVSS.
فيما يلي قائمة الأنظمة المتأثرة:
- إصدارات Apache Log4j 2.0 إلى 2.14.1
- إصدارات Apache Log4j 1.x (إصدارات قديمة) تخضع لتهيئة خاصة.
- المنتجات التي تستخدم إصدارًا ضعيفًا من Apache Log4j - تحتفظ الشهادات الوطنية الأوروبية بقائمة كاملة من المنتجات وحالة ضعفها
توصي CERT-FR بإجراء تحليل شامل لسجلات الشبكة. يمكن استخدام الأسباب التالية لتحديد محاولة استغلال هذه الثغرة الأمنية عند استخدامها في عناوين URL أو بعض رؤوس HTTP كوكيل مستخدم
أخيرا من الجدير بالذكر أن يوصى بشدة باستخدام الإصدار 2.15.0 من log4j في أسرع وقت ممكن.
ومع ذلك ، في حالة وجود صعوبات في الانتقال إلى هذا الإصدار ، يمكن تطبيق الحلول التالية مؤقتًا:
بالنسبة للتطبيقات التي تستخدم الإصدارات 2.7.0 والإصدارات الأحدث من مكتبة log4j ، فمن الممكن الحماية من أي هجوم عن طريق تعديل تنسيق الأحداث التي سيتم تسجيلها باستخدام بناء الجملة٪ m {nolookups} للبيانات التي سيوفرها المستخدم .
يتطلب هذا التعديل تعديل ملف تكوين log4j لإنتاج نسخة جديدة من التطبيق. لذلك ، يتطلب ذلك إعادة خطوات التحقق من الصحة الفنية والوظيفية قبل نشر هذا الإصدار الجديد.
بالنسبة للتطبيقات التي تستخدم الإصدارات 2.10.0 والإصدارات الأحدث من مكتبة log4j ، من الممكن أيضًا الحماية من أي هجوم عن طريق تغيير معلمة التكوين log4j2.formatMsgNoLo