قبل عام، بالتحديد في ديسمبر 2021، تسببت ثغرة Log4Shell (CVE-2021-44228) في مكتبة Apache Log4j في إحداث ضجة كبيرة. وعلى الرغم من أنه بحلول الربيع، لم تعد على الصفحات الأولى لوسائل الإعلام الخاصة بتكنولوجيا المعلومات، إلا أنها ظهرت مرة أخرى في نوفمبر 2022 عندما ورد أن مجرمي الإنترنت قد استغلوا الثغرة الأمنية لمهاجمة وكالة فيدرالية أمريكية وتثبيت عامل تعدين العملات المشفرة في أنظمتها. وهذا في الواقع سبب وجيه لشرح ماهية Log4Shell، ولماذا من السابق لأوانه شطبها، وكيفية حماية بنيتك التحتية.
ما هي مكتبة Apache Log4j؟
نظرًا لأن Java SDK لم يدعم تسجيل الدخول في البداية، كان على المطورين كتابة حلولهم الخاصة، وبحلول الوقت الذي ظهرت فيه الواجهة البرمجية للتطبيق Java Logging الرسمية، كان هناك بالفعل القليل منها. إحداها Apache Log4j، وهي مكتبة Java مفتوحة المصدر شهيرة قيد التطوير منذ عام 2001. وهي بطبيعة الحال ليست الحل الوحيد للتسجيل في Java، ولكنها بالتأكيد أحد أكثر الحلول شيوعًا. وهناك العديد من الحلول البديلة التي تُعد في الأساس فروعًا من Log4j ظهرت في مراحل مختلفة من تطوير المكتبة.
ما هي ثغرة Log4Shell؟
تسمح مكتبة Log4j بتسجيل جميع أحداث النظام تلقائيًا. وتستخدم مجموعة قياسية من الواجهات للوصول إلى بيانات تسمية وواجهة دليل Java (JNDI). في نوفمبر 2021، اتضح أنه أثناء التسجيل، يمكنها تشغيل أوامر JNDI التي تم تمريرها إليها بواسطة حدث، على سبيل المثال، في حقل رأس الطلب، أو في رسالة دردشة، أو في وصف خطأ 404 على صفحة ويب.
الثغرة تسمح لمجرمي الإنترنت، من الناحية النظرية على الأقل، بفعل ما يرغبون به على نظام الضحية (إذا لم يتم تطبيق إجراءات أمنية إضافية). ومن الناحية العملية، استخدم المهاجمون في أغلب الأحيان Log4Shell لتثبيت عوامل تعدين غير قانونية وتنفيذ هجمات برامج الفدية. غير أنه كانت هناك استخدامات أكثر غرابة أيضًا، منها الهجمات المستهدفة، ونشر شبكة Mirai الروبوتية، وحتى RickRolling – تشغيل أغنية “Never Gonna Give You Up” (الإدمانية بشكل مزعج) لمغني الثمانينيات ريك أستلي.
لماذا تُعد خطيرة جدا ولا تزال تُشكِل تهديدًا؟
Java واحدة من لغات البرمجة الرئيسية؛ وتُستخدم للعديد من أنظمة الخلفية – من خوادم الشركات الصغيرة إلى أنظمة الأتمتة الصناعية وأجهزة إنترنت الأشياء. ومعظم هذه الأنظمة تُنفذ التسجيل بطريقة أو بأخرى. وعلى مدى سنوات، كانت أسهل طريقة للقيام بذلك هي استخدام مكتبة Log4j. وعندما تم الإبلاغ عن وجود ثغرة أمنية في ديسمبر 2021، أعلن الخبراء أنها ستكون مشكلة جسيمة لسنوات عديدة قادمة. وإليكم السبب:
- تُستخدم Log4j في مجموعة كبيرة من تطبيقات Java. في وقت الاكتشاف، كانت الثغرة موجودة في أكثر من 35000 حزمة (أدوات) في Maven Central (أكبر مستودع لحزم Java)، وهو ما يُمثل 8% من إجمالي عددها. وفقًا للخبراء، فإن حوالي 40% من الشبكات في جميع أنحاء العالم كانت مُعرضة للخطر من Log4Shell.
- إلى جانب أجهزة الكمبيوتر والخوادم التقليدية، تُستخدم Java أيضًا في المعدات الصناعية والطبية والمتخصصة الأخرى. ومن المعروف أيضًا أن هذه المعدات تستفيد من مكتبة Log4j.
- قد يقوم المستخدمون النهائيون للحلول التي تحتوي على Log4j داخليًا بتأجيل تحديثها، إذا لم يكونوا على دراية بأن البرمجيات تحتوي على ثغرة أمنية.
- كان من الممكن أن يتعرض مطورو الحلول التي تستخدم مكتبة Log4j للإفلاس منذ فترة طويلة، أو مغادرة السوق، أو سحب الدعم المخصص لبرامجهم. حتى إذا أراد المستخدمون النهائيون التحديث، فقد لا يكون هذا الخيار متاحًا، بينما قد لا يكون التبديل إلى برمجيات أخرى بهذه السهولة.
- Log4j هي مكتبة مفتوحة المصدر، مما يعني أن المبرمجين يمكنهم نسخها وتعديلها واستخدامها في مشاريعهم. ولسوء الحظ، لا يلتزم جميع المطورين بشكل صارم بقواعد الترخيص، ولا يشيرون دائمًا إلى تأليف التعليمات البرمجية. لذا، من الناحية النظرية، يمكن العثور على نفس الثغرة في مشروع جهة خارجية، حيث لا توجد Log4j بشكل رسمي.
- كانت Log4Shell ثغرة غير معروفة، مما يعني أن مجرمي الإنترنت استغلوها قبل نشر المعلومات عنها. وهناك أدلة تشير إلى أن المهاجمين جربوها لأول مرة قبل تسعة أيام على الأقل من الإعلان عنها.
- ومن بين البرامج المتأثرة منتجات VMware، ولا سيما حل البنية التحتية لسطح المكتب الافتراضي VMware Horizon الشهير. حيث اخترقت العديد من الهجمات المسجلة النظام من خلال هذه البرمجيات تحديدًا.
- لن يكون لتحديثات البرنامج تأثير يُذكر في حالة وجود دخلاء بالفعل داخل النظام. ولا تبدأ جميع الهجمات بأي حال من الأحوال فور الاختراق، ومن الوارد تمامًا أن تحتوي العديد من الأنظمة على مداخل سرية حتى يومنا هذا.
الضرر الفعلي
من الإنصاف، يجب أن نلاحظ أنه وحتى الآن لم يتم تسجيل أي نتائج كارثية لاستغلال Log4Shell – أو على الأقل لم يتم إخطار عامة الناس بها. ومع ذلك، تسببت الثغرة في صداع حقيقي للمطورين وخبراء الأمن، بما في ذلك عطلات عيد الميلاد المدمرة لآلاف موظفي تكنولوجيا المعلومات في جميع أنحاء العالم. واضطرت الشركات الجادة بشأن الأمن (سواء كانت شركاتها أو شركات عملائها) إلى دفع مبالغ ضخمة لتحديد موقع الثغرة الأمنية في أنظمتها وبرمجياتها، والقضاء عليها.
وفيما يلي نُسلط الضوء على بعض أبرز حوادث Log4Shell المعروفة:
- في 20 ديسمبر 2021، أكدت وزارة الدفاع البلجيكية حدوث هجوم على بنيتها التحتية باستخدام الثغرة الأمنية.ومن المفهوم أنه لم يتم الكشف عن التفاصيل.
- في 29 ديسمبر 2021، ذكرت تقارير إعلامية أن مؤسسة علمية معينة في الولايات المتحدة تعرضت للهجوم من خلال Log4Shell.ووفقًا لمؤسسة CrowdStrike، استغلت مجموعة APT، Aquatic Panda برنامج VMware Horizon غير المثبت. وتم إيقاف النشاط المشبوه في الوقت المناسب، لكن الحادثة نفسها تشير إلى أن مجموعات قراصنة خطيرة قد تبنت الثغرة الأمنية.
- في ديسمبر 2021 أيضًا، انتشرت أخبار عن استغلال Log4Shell على خوادم Minecraft: إصدار Java، الذي لا يستضيفه ناشر اللعبة (Microsoft). أكدت الشركة ولفتت الانتباه إلى بساطة تنفيذ الهجوم: حيث نقل المجرمون السيبرانيون تعليمات برمجية ضارة في دردشة عادية داخل اللعبة، والتي كانت كافية لتشغيلها على جانب الخادم وعلى العميل المعرض للخطر. وهذه المسألة أقل أهمية من وجهة نظر الضحايا وأكثر من حيث التنفيذ التقني: في ظل ظروف معينة، يمكن تنفيذ الهجوم ببساطة من خلال دردشة داخلية. وهذا أمر مقلق، نظرًا لأن الدردشات الآن تصل إلى ما هو أبعد من عالم الألعاب: بالنسبة للعديد من الشركات، فهي الطريقة المفضلة للتواصل مع العملاء. وفي العديد من تطبيقات التكنولوجيا المالية والتطبيقات الأخرى، هذه هي الطريقة التي يُقدم بها دعم العملاء.
- في يونيو 2022، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) والقيادة الإلكترونية لخفر السواحل الأمريكية (CGCYBER) تنبيهًا بأن الثغرة لا تزال قيد الاستغلال النشط. وذكر التقرير الاستشاري أن مجرمي الإنترنت استخدموا ثغرة في نفس برنامج VMware Horizon لاختراق الشبكات الداخلية لوكالتين حكوميتين مجهولتَي الاسم. علاوة على ذلك، ذُكر أن المهاجمين تمكنوا من الوصول إلى 130 جيجابايت من البيانات الحساسة المتعلقة بإنفاذ القانون.
- في نوفمبر 2022، صدر تقرير استشاري آخر من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA، بالاشتراك مع مكتب التحقيقات الفيدرالي، حول هجوم Log4Shell على وكالة حكومية أخرى. واخترق المهاجمون النظام مرة أخرى في فبراير، وتم اكتشافهم في أبريل، وظلوا نشطين في يونيو ويوليو. وخلال هذه الفترة، أنشأوا حسابًا يتمتع امتيازات المسؤول، وقاموا بتغيير كلمة مرور المسؤول الشرعية وتحميل برمجيات التعدين على الخادم. ويُعتقد أن الهجوم من عمل قراصنة ترعاهم الحكومة الإيرانية، لذلك يعتبر بعض الخبراء أن التعدين مجرد ساتر لإخفاء دوافعهم الحقيقية.
كيفية حماية بنيتك التحتية
يمكن أن تقع أي شركة ضحية لثغرة Log4Shell، وغالبًا بسبب عدم معرفتها بالثغرات الأمنية في أنظمتها وبرمجياتها. وإذا لم تكن متأكدًا مما إذا كانت أنظمتك أو أدواتك أو منتجاتك أو خدماتك تستخدم مكتبة Log4j أم لا، فمن المنطقي إجراء تدقيق أمني شامل Kaspersky Security Assessment Services. بخلاف ذلك، اتبع هذه النصائح من خبرائنا للبقاء آمنًا.
- إذا كانت ميزات Log4j موجودة في البرمجيات التي تقوم بإنشائها، فاستخدم أحدث إصدار من المكتبة المتوفرة على صفحة المشروع.
- اقرأ الدليل الرسمي الصادر عن خدمات تسجيل Apache واتبعه عند الضرورة.
- إذا تم استخدام Log4j في منتجات الجهات الخارجية، فقم بتحديث جميع البرامج المعرضة للخطر.
- استخدم حلول أمان قوية قادرة على اكتشاف محاولات استغلال الثغرات الأمنية على الخوادم ومحطات العمل.
- راقب النشاط المشبوه داخل محيط الشركة باستخدام حلول من الفئة EDR أو الخدمات الخارجية مثل الكشف المُدار والاستجابة.Kaspersky Managed Detection and Responce وهذا سيُتيح لك العثور على الهجمات والتخلص منها في المراحل المبكرة.