ما هي ثغرة log4shell ؟ يتزايد عدد المخترقين والمتسللين على شبكة الإنترنت يوماً بعد يوم، مخلفين وراءهم الالاف من الاضرار للمستخدمين دون ادنى رحمة او شفقة على المستخدمين او غيرهم، وتتوالى الاختراقات واستغلال الثغرات مهم.
فمنذ 1 ديسمبر 2021 تم استغلال ثغرة أمنية مرتبطة بمكتبة التسجيل مفتوحة المصدر Apache Log4j 2 بشكل نشط، مما أثر على عدد لا يحصى من المنتجات والخدمات الرقمية على مستوى العالم، فما هي ثغرة log4shell ؟
ما هي ثغرة log4shell ؟
ترتبط الثغرة الأمنية بمسجل نشاط المستخدم المعروف باسم Log4J، وهي مكتبة تسجيل يتم توزيعها مجانًا بواسطة Apache Software Foundation، حيث يتم تنفيذ Java عبر مجموعة واسعة من المنتجات الرقمية بما في ذلك الحلول السحابية وخوادم الويب والتطبيقات مما يجعل كل من هذه المنتجات عرضة للاستغلال من خلال ثغرة Log4Shell.
نظرًا لانتشار هذا الخلل الأمني على نطاق واسع وعدم وعي معظم المؤسسات بتأثرها، فإن جنون الاستغلال يجري حاليًا في عالم المجرمين الإلكترونيين، واستطاع الباحثين في الأمن رصد حوالي ما يقرب من 10 ملايين محاولة استغلال Log4Shell كل ساعة.
ومن اللافت للنظر ان صناعة البيع بالتجزئة هي أكبر من يعاني من عدد الهجمات لهذه الثغرة الامنية، تليها التكنولوجيا والخدمات المالية وخدمات التصنيع، أيضاً مقدمو الرعاية الصحية في حالة تأهب قصوى نظرًا لسمعة الصناعة الطويلة الأمد في معاناتهم من الهجمات الإلكترونية.
كيفية إصلاح ثغرة log4shell
إن حداثة هذه الثغرة الأمنية إلى جانب الحد الأقصى لدرجة CVSS البالغة 10 ، يعني أن الأمر سيستغرق بعض الوقت قبل تطوير حل جذري لهذه الثغرة الخطيرة، ولكن خلال ذلك يجب على المتخصصين في المجال السيبراني اتباع بروتوكول الحماية والمعالجة هذا للمساعدة في إدارة الثغرة الأمنية، وهو كالتالي:
-
قم بالتحديث إلى أحدث إصدار من مكتبة log4shell
تتمثل الاستجابة الأسرع والأكثر فعالية حاليًا في ترقية جميع اصدارات Log4j إلى أحدث إصدار Log4j 2.17.1 من موقعها الاصلي، فوفقًا لـ Apache أنه تم إصلاح الثغرة الأمنية CVE-2021-45105 في أحدث إصدار من المكتبة، وعلى الرغم من ان هذه الخطوة يجب أن تمنع هذا الهجمات المستقبلية ولكنها مع الاسف لن تعالج أي ضرر حدث قبل ترقية المكتبة، نظرًا لأن هذه الثغرة الأمنية منتشرة على نطاق واسع ، فمن الآمن افتراض أن النظام البيئي الخاص بك قد تعرض للخطر قبل ترقية المكتبة وبدء الاستجابات لحادث خرق البيانات على الفور.
حتى الكيانات التي لا تستخدم خدمات سجل Apache يجب أن تفترض حدوث خرق للبيانات لأن تأثير على حيز صغير قد يؤثر على سطح الهجوم بأكمله.
-
استخدم ماسح الثغرات الأمنية log4shell
-
تغيير خصائص نظام جافا
إذا كانت الترقية إلى أحدث إصدار من Log4j غير ممكنة، فيجب على فرق الأمان تنفيذ الاستجابة التالية فورًا للإصدارات 2.10 إلى 2.14.1:
فإما أن تقوم بتعيين خاصية النظام التالية على “صواب”: log4j2.formatMsgNoLookups
أو اضبط متغير البيئة التالي على صحيح: LOG4J_FORMAT_MSG_NO_LOOKUPS
-
تعطيل JNDI
يقع اللوم في المقام الأول على خطأ في التصميم في المكون الإضافي JNDI Lookup في هذه الثغرة الخطيرة، حيث تسهل JNDI تنفيذ التعليمات البرمجية استنادًا إلى البيانات الموجودة في السجل، وهي بيانات يمكن معالجتها بسهولة منذ أن قبلها المسجل دون الحاجة إلى تطهيرها.
وقد تم اكتشاف مؤخرًا أن المكون الإضافي JNDI Lookup قد سمح دائمًا بإرسال المعلومات غير المحللة إلى مكتبة Log4j، منذ إصداره في عام 2013، ويمكن ان يكون هذا هو السبب في أنه يقوم باستغلال CVE-2021-44228 بادخال سلسلة واحدة، وبمجرد الادخال سينظر المسجل في العملية المضمنة في السلسلة كجزء من قاعدة الكود الأصلية الخاصة به ويقوم بتنفيذها على الفور.
ومن خلال تعطيل فئة JndiLookup، لن يتمكن المسجل من اتخاذ إجراء بناءً على البيانات الموجودة في السجل، حيث يتم الغاء اتاحة JNDI افتراضيًا في الإصدار 2.16.0 من Log4j، ويمكن أيضًا تأمين الإصدارات الضعيفة من Log4j عن طريق إزالة فئة JndiLookup من مسار الفصل التالي:
zip -q -d log4j-core- * .jar org / apache / logging / log4j / core / lookup /JndiLookup.class
-
إرسال استبيان Apache Log4j إلى الموردين
يساعد استبيان Apache Log4j من UpGuard الفرق الامنية على اكتشاف موردي الجهات الخارجية الذين يستخدمون البرامج أو الخدمات السحابية المتأثرة بثغرة Log4j، إما بشكل مباشر أو عبر سلاسل التوريد.
-
تحديث كافة جدران الحماية وأنظمة منع التطفل
قم بتحديث جميع جدر الحماية من الجيل التالي وجدران حماية تطبيقات الويب وأنظمة منع التطفل بأحدث القواعد والتوقيعات، حيث يمكن أن تقوم التصحيحات بتصفية أو حظر حركة مرور LDAP و RMI التي تحاول الوصول إلى خوادم LDAP الضارة.
-
استخدام المصادقة الثنائية
يمكن أن تعيق ممارسات التطهير والحماية مثل المصادقة الثنائية وسياسات VPN الصارمة بنجاح اختراق البيانات إذا تمكن المهاجم من الوصول إلى الشبكة من خلال ثغرة Apache Log4j.
-
استخدم Huntress Log4Shell Vulnerability Tester
أنشأ Huntress أداة فحص لاختبار ما إذا كانت أي عمليات أو بيانات مسجلة بشكل شائع تمر عبر واجهات برمجة التطبيقات قد تأثرت بثغرة Log4Shell، وباستخدام كلا الماسحين سيكون لديك فرصة أكبر لاكتشاف التأثيرات الحدودية لثغرة Log4j.
كيف تعمل ثغرة Log4j السيبراني
تسمح الثغرة الأمنية Log4Shell للمتسللين بحقن تعليمات برمجية عشوائية عن بُعد في الشبكة المستهدفة والتحكم فيها بشكل كامل، ولفهم تسلسل الهجمات الإلكترونية من المهم أولاً فهم كيفية عمل المسجلين، كالتالي:
- فبدون مكتبة المسجل مثل Log4j ، يتم أرشفة المعلومات من الخوادم على الفور بعد التجميع.
- ثم يتم إرسال سجلات الخادم إلى الأرشيف، ولكن إذا تم تحليل البيانات المسجلة بشكل نشط أو إذا كانت هناك حاجة لإجراءات معينة استجابة لبيانات سجل معينة، فقد يستخدم مطورو برامج Java مكتبة مثل Log4j لتحليل السجلات قبل أرشفتها.
- تحليل بيانات الخادم من خلال log4j قبل أرشفتها، فأي عمل يستخدم مكتبة Log4j ضعيفة لتحليل بيانات السجل في أنظمتها الخلفية معرضة لهجوم إلكتروني من Log4j.
- هذا المسجل قادر على تنفيذ التعليمات البرمجية بناءً على الإدخال، ولأن الثغرة الأمنية تسمح للمهاجمين بمعالجة بيانات الإدخال، فقد يضطر المسجل إلى تنفيذ تعليمات برمجية ضارة.
- من الناحية الفنية مكتبة Log4j المعرضة للخطر عند تمرير سلسلة مصنوعة خصيصًا لها ستستدعي خادم LDAP وتقوم بتنزيل الكود المستضاف في دليل LDAP، ثم تنفذ هذا الرمز، وسيسمح هذا لمجرمي الإنترنت بإنشاء خادم LDAP ضار يخزن التعليمات البرمجية المصممة للاستيلاء على أي خادم يتم تنفيذه فيه، ثم إرسال التطبيقات / قواعد البيانات / واجهات برمجة التطبيقات (API) السلسلة التي تشير إلى التعليمات البرمجية الخاصة بهم.
ما مدى اهمية ثغرة Log4Shell
يعتبر العديد من خبراء الأمن CVE-2021-44228 أحد أسوأ حالات الاختراق في تاريخ التكنولوجيا الرقمية، ما يدعم هذا الشعور لديهم، عاملين:
-
من السهل للغاية استغلال CVE-2021-44228
لاستغلال الثغرة الأمنية يحتاج ممثل التهديد فقط إلى إدخال سلسلة في حدث سجل عام لحقن حمولة ضارة، وتتطلب هذه العملية مهارة قليلة جدًا وقد حدثت بالفعل العديد من محاولات الاستغلال منذ اكتشاف الثغرة الأمنية في 5 ديسمبر 2021.
-
قد يتأثر أي برنامج Java
نظرًا لأن Log4j هي مكتبة تسجيل Java شائعة الاستخدام فمن المحتمل أن تؤثر هذه الثغرة الأمنية على جميع التطبيقات والبرامج التي تنفذ Java، فمن الصعب تحديد العدد الهائل للأنظمة المحتمل تأثرها، بحيث يعتبر تقدير بضع مليارات من الحالات متحفظًا، هذا لأن Java مضمنة في العديد من المنتجات والخدمات الرقمية بما في ذلك: أجهزة توجيه الإنترنت، والمشاريع والبرامج، وخوادم Microsoft و Amazon و AWS و Twitter، وحتى الهواتف.
حيث يحتمل أن تكون عرضة للخطر على الرغم من أنهم لا يقومون بتشغيل Java بشكل مباشر، فمن المحتمل أن تتواصل أنظمة الواجهة الخلفية الخاصة بهم مع مكتبة Log4j عبر APis، لذلك يمكن حقن سلسلة ضارة يتم إرسالها إلى iPhone في نهايتها الخلفية مما يؤدي إلى حل وسط.
ومن الجدير بالذكر أن البرامج التي تحتوي على ثغرات أمنية في Apache Log4j لا تحتاج حتى إلى التعرض المباشر للإنترنت لاستغلالها، فيمكن أن تتغلغل السلاسل الضارة في البرامج الخلفية التي تشغل إصدارات Apache Log4j الضعيفة، حتى إذا لم يكن تطبيق الويب المواجه للإنترنت مشفرًا في Java، اوإذا لم يكن أي من تطبيقات الويب والبرامج الخلفية الخاصة بك تعمل بإصدارات Log4j ضعيفة، فقد يكون موردي الطرف الثالث لديك، مما يعرض نظامك لاحتمال حدوث انتهاكات من طرف ثالث.
إن ضخامة خيارات ناقلات الهجوم وبساطة حلها الوسط يؤدي إلى تأجيج جنون الاستغلال بين مجرمي الإنترنت،فوفقًا لـ Security Firm Check Point ، تم اكتشاف أكثر من 60 نوعًا مختلفًا من الثغرة الأصلية في أقل من 24 ساعة، مما يعني أن مجرمي الإنترنت يوسعون أطر استغلالهم تحسباً للتصحيحات القادمة، فإذا تم حقن البرامج الضارة في خوادم LDAP، فقد تؤدي الثغرة الأمنية CVE-2021-44228 إلى موجة هائلة من انتهاكات البيانات الهائلة وهجمات برامج الفدية التي من شأنها أن تقزم بعض أكبر الاختراقات التي رأيناها حتى الآن.
ومن المهم معرفة ان هناك نوعان من الخروقات الأمنية التاريخية التي يمكن مقارنتها بالتأثير المحتمل لثغرة Apache Log4j، وهما:
- تم تسهيل خرق بيانات Equifax من خلال ثغرة Apache Struts CVE-2017-5638 ، حيث تأثر 147 مليون شخص.
- بالاضافة ل ShellShock (المعروفة باسم Bashdoor) هي عائلة من الأخطاء الأمنية التي تؤثر على Unix Bash Shell وعند استغلالها يمكن أن تسمح أخطاء ShellShock للهجمات بإجبار Bash على تنفيذ أوامر ضارة، حيث تشير السمات المتشابهة بين Bashdoor و Log4Shell إلى أن الخطرين السيبرانيين قد يكونان جزءًا من نفس عائلة الثغرات الأمنية.
ما هي إصدارات ثغرة log4shell 2 التي تأثرت؟
من المحتمل أن تتأثر جميع إصدارات Log4j السابقة للإصدار 2.17.0 باستغلال Log4j، لذا يجب على كل كيان يستخدم Log 4j الترقية على الفور إلى أحدث إصدار من مكتبة Apache – 2.17.1
ومن الجدير بالذكر أنه لم يعد Log4j 1 مدعومًا ونتيجة لذلك لن تتم معالجة الثغرات الأمنية مع إصدارات التصحيح المستقبلية، لذا يجب تحديث جميع مثيلات نقطة النهاية لهذا الإصدار على الفور إلى الإصدار 2.17.1
شركة سايبر وان لمكافحة الابتزاز الإلكتروني
شركة سايبر وان هي شركة رائدة في مجال الأمن السيبراني والمعلوماتي ومكافحة الجرائم الالكترونية الابتزاز الالكتروني بكافة انواعه، لذا فإنه في حال تعرضك لأي عملية ابتزاز إلكتروني أو عاطفي او غيره من عمليات الابتزاز او أي جريمة إلكترونية، يمكنك التواصل معنا من خلال ارقامنا او البريد الالكتروني، بالاتصال المباشر او على الواتس اب :
972533392585+
972505555511+
info@cyberone.co
حيث نقدم لك المساعدة التي تريدها بالشكل المطلوب، من خلال حل مشكلتك بأسرع وقت ممكن، والوصول اليك وللمبتز أينما كنتما، وبسرية تامة.
ترتبط ثغرة Log4Shell بمسجل نشاط المستخدم المعروف باسم Log4J، وهي مكتبة تسجيل يتم توزيعها مجانًا بواسطة Apache، حيث يتم تنفيذ Java عبر مجموعة واسعة من المنتجات الرقمية، لذا تعتبر الثغرة من اخطر الثغرات في العالم الرقمي، وكان من أبرز الحلول التي عرضها الاخصاء الامنيون هو ضرورة متابعة تحديث احدث الاصدارات التي تقدمها شركة ابتشي، وعلى الرغم من ذلك فإن التحديثات لا تحل المشكلة من جذورها بل قد تمنع أي أخطار مستقبلية.
جميع الحقوق محفوظة لشركة سايبر وان المختصة في الأمن السيبراني والجرائم الإلكترونية لا يحق لكم نقل أو اقتباس أي شيء بدون موافقة الشركة قد يعاقب عليها القانون.
للتواصل info@cyberone.co
00972533392585
