ثغرة أمنية حرجة في مكتبة Apache Log4j

أفادت العديد من المنافذ الإخبارية عن اكتشاف ثغرة أمنية خطيرة CVE-2021-44228 في مكتبة Apache Log4j ( CVSS مستوى الخطورة 10 من 10).تستخدم ملايين تطبيقات Java هذه المكتبة لتسجيل رسائل الخطأ. ولزيادة الأمر تفاقمًا، يستغل المهاجمون بالفعل هذه الثغرة الأمنية. لهذا السبب، توصي مؤسسة برمجيات أباتشي Apache جميع المطورين بتحديث المكتبة إلى الإصدار 2.15.0، وإذا لم يكن ذلك ممكنًا، فليستخدموا إحدى الطرق الموضحة فيصفحة الثغرات الأمنية في Apache Log4j .

سبب خطورةCVE-2021-44228

CVE-2021-44228، المسمى أيضًا Log4Shell أو LogJam، هو عبارة عن ثغرة أمنية لفئة تنفيذ التعليمات البرمجية عن بُعد(RCE)إذا تمكن المهاجمون من استغلالها على أحد الخوادم، فإنهم يكتسبون القدرة على تنفيذ تعليمات برمجية عشوائية ويحتمل أن يتحكموا بشكل كامل في النظام.

ما يجعل CVE-2021-44228 خطيرًا بشكل خاص هو سهولة الاستغلال: حتى المتسلل عديم الخبرة يمكنه تنفيذ هجوم بنجاح باستخدام هذه الثغرة الأمنية. ووفقًا للباحثين، يحتاج المهاجمون فقط إلى إجبار التطبيق على كتابة سلسلة واحدة فقط في السجل، وبعد ذلك يمكنهم تحميل التعليمات البرمجية الخاصة بهم في التطبيق بسبب وظيفة message lookup substitution function.

عمل إثباتات المفهوم (PoC)للهجمات عبر CVE-2021-44228 متوفر بالفعل على الإنترنت.لذلك ، ليس من المستغرب أن تقوم شركات الأمن السيبراني بالفعل بتسجيل عمليات مسح واسعة النطاق للشبكات بحثًا عن التطبيقات المعرضة للثغرات الأمنية بالإضافة إلى الهجمات على مصائد قراصنة الإنترنت.

اكتشف هذه الثغرة الأمنية Chen Zhaojun من فريق Alibaba Cloud Security Team.

ما هوApache Log4J ولماذا تحظى هذه المكتبة بشعبية كبيرة؟

يمثل Apache Log4j جزءًا من مشروع تسجيلApache Logging. إلى حد كبير، يشكل استخدام هذه المكتبة أحد أسهل الطرق لتسجيل الأخطاء، ولهذا السبب يستخدمها معظم مطوري Java.

تستخدم العديد من شركات البرمجيات والخدمات عبر الإنترنت مكتبة Log4j، بما في ذلك Amazon وApple iCloud وCisco وCloudflare وElasticSearch وRed Hat وSteam وTesla وTwitter وغيرها الكثير. نظرًا لأن المكتبة تحظى بشعبية كبيرة، يتوقع بعض الباحثين في مجال أمن المعلومات زيادة كبيرة في الهجمات على الخوادم المعرضة للثغرات الأمنية خلال الأيام المقبلة.

#Log4Shell pic.twitter.com/1bKDwRQBqt

— Florian Roth ⚡️ (@cyb3rops) December 10, 2021

أي من إصدارات مكتبة Log4j معرضة للهجوم وكيف يمكنك حماية خوادمك من ذلك؟

جميع إصدارات Log4j غالبًا ضعيفة، بدءًا من 2.0-beta9 إلى 2.14.1. إن أبسط طرق الحماية وأكثرها فعالية هي تثبيت أحدث إصدار من المكتبة، 2.15.0 . يمكنك تنزيله علىصفحة المشروع.

إذا كان تحديث المكتبة لسبب ما غير ممكن، توصي مؤسسة Apache باستخدام إحدى طرق تقليل المخاطر. في حالة إصدارات Log4J من 2.10 إلى 2.14.1، ينصحون بتعيين خاصية النظام log4j2.formatMsgNoLookups أو تعيين متغير البيئة LOG4J_FORMAT_MSG_NO_LOOKUPS إلى >.

لحماية الإصدارات السابقة من Log4j (من 2.0-beta9 إلى 2.10.0)، يوصي مطورو المكتبة بإزالة فئة JndiLookup من classpath: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.

بالإضافة إلى ذلك ، نوصي بتثبيت  حلول أمنية  على خوادمك – سيسمح لك هذا في كثير من الحالات باكتشاف إطلاق التعليمات البرمجية الضارة وإيقاف تطوير الهجوم.