راهنمای Log4Shell برای همه

اگر در زمینه امنیت کار می‌کنید، احتمالاً روزهای اخیر را درگیر رسیدگی فوری به آسیب پذیری Log4Shell با شناسه (CVE-2021-44228) بوده‌اید؛ مثلاً به دنبال یافتن موارد استفاده از Log4j در محیط خود گشته‌اید و یا از وندورها (vendors) در مورد راهکارشان پرس‌وجو کرده‌اید. به احتمال زیاد درباره‌ی پیامدها و اقدامات لازم نیز مطالعه کرده‌اید. این مقاله برای تمام کسانی است که می‌خواهند بفهمند چه خبر است و چرا دوباره در اینترنت جنجال به پا شده است. برای متخصصان امنیت نیز پرسش‌هایی را از منظر بلندمدت و پیرامون پیامدهای گسترده‌تر این مسئله مطرح و بررسی کرده‌ایم.

Log4Shell چیست؟

آسیب‌پذیری Log4Shell – با شناسه CVE-2021-44228 – یک آسیب‌پذیری حیاتی است که اجرای کد از راه دور (RCE) را در سیستم‌هایی که از Log4j شرکت آپاچی (Apache Software Foundation) استفاده می‌کنند، امکان‌پذیر می‌نماید. Log4j یک کتابخانه اوپن سورس جاوا است که به طور گسترده در محصولات و برنامه‌های نرم‌افزاری تجاری و اوپن‌سورس استفاده می‌شود.

Log4j چیست؟

Log4j یکی از رایج‌ترین ابزارهای ارسال متن برای ذخیره در فایل‌های لاگ و/یا دیتابیس است. این ابزار در میلیون‌ها اپلیکیشن و در وب‌سایت تمامی سازمان‌های سراسر اینترنت استفاده می‌شود. به عنوان مثال، اطلاعات لازم برای مانیتور بازدیدکنندگان وب‌سایت، اخطار موقع بروز خطا و کمک به رفع مشکلات تیم پشتیبانی در فرایند تریاژ، توسط Log4j ارسال می‌شود.

مشکل چیست؟

ظاهراً Log4j فقط استرینگ‌های Plain را لاگ نمی‌کند. تکست استرینگ‌هایی (plain strings) که به روش خاصی فرمت شده‌ باشند، درست مانند یک لاین از یک برنامه کامپیوتری اجرا می‌شوند. مشکل اینجاست که این مسئله به عوامل مخرب اجازه می‌دهد تا کامپیوترها را در سراسر اینترنت دستکاری کنند و بدون خواست یا اجازه‌ی صاحب کامپیوتر، کارهایی را روی آن انجام دهند. در حملات سایبری از این مسئله برای سرقت اطلاعات، اعمال زور یا اخاذی از صاحبان یا اپراتورهای کامپیوتر استفاده می‌شود.
این آسیب‌پذیری همان چیزی است که ما از آن به عنوان Log4Shell یا CVE-2021-44228 یاد می‌کنیم. Log4j خودِ تکنولوژیِ آسیب‌پذیر است.

آیا مسئله Log4Shell واقعاً جدی است؟

در یک کلام بله.
کیتلین کیسکا (Caitlin Kiska)، مهندس امنیت اطلاعات در کاردینال هلث (Cardinal Health)، موضوع را اینطور بیان می‌کند:

«تصور کنید نوع خاصی از پیچ و مهره در بیشتر خودروها و قطعات خودروی جهان به کار می‌رود و اعلام می‌کنند که فقط آن پیچ باید تعویض گردد».

گلن تورپ (Glenn Thorpe)، مدیر پاسخگویی به تهدیدات اضطراری Rapid7، اضافه می‌کند: «… و وجود آن پیچ به هر کسی اجازه می‌دهد که ماشین را تحت اختیار بگیرد».
اولین مسئله استفاده‌ی گسترده از Log4j است. این ابزار کوچک در سیستم‌های بی‌شماری در سراسر اینترنت استفاده می‌شود که همین مسئله اصلاح (remediation) یا کاهش مخاطره (mitigation) آن را به کاری سخت و بزرگ تبدیل می‌کند.

مسئله دوم این است که مهاجمان می توانند از آن به طرق مختلف استفاده کنند، بنابراین با هیچ محدودیتی مواجه نیستند.

شاید بزرگترین نگرانی این باشد که استفاده از این آسیب‌پذیری برای اهداف مخرب بسیار آسان است. آسیب‌پذیری‌های اجرای کد از راه دور (RCE) همیشه نگران‌کننده هستند، اما می‌دانید که اکسپلویت این آسیب‌پذیری‌ها پیچیده است و به مهارت فنی تخصصی نیاز دارد. به این ترتیب تعداد افرادی که می‌توانند از آن‌ها استفاده کنند محدود می‌شود و سرعت حملات کاهش می‌یابد بنابراین مدافعان می‌توانند به صورت ایده‌آل اقدامات اصلاحی را انجام دهند. این مسئله در مورد Log4Shell صادق نیست. ابزار Log4j به گونه‌ای طراحی شده است که هر داده‌ی ورودی را که فرمت مناسبی داشته باشد ارسال کند، بنابراین تا زمانی که مهاجمان بدانند چگونه دستورات خود را به فرمت مناسب تبدیل کنند (که چیز پنهانی هم نیست)، می‌توانند از این باگ سوءاستفاده کنند. بد نیست بدانید که همین حالا نیز در حال انجام همین کار هستند.

آیا وضعیت واقعاً ناامیدکننده است؟

قطعاً نه. خبر خوب این است که شرکت آپاچی Log4j را برای رفع این آسیب‌پذیری به‌روزرسانی کرده است. تمام سازمان‌ها باید فوراً وجود این آسیب‌پذیری را در محیط خود بررسی کنند و سیستم‌های آسیب‌دیده را به آخرین نسخه پچ به‌روزرسانی کنند.
اولین به‌روزرسانی – نسخه 2.15.0 – در 6 دسامبر 2021 منتشر شد. با افزایش اکسپلویت‌های گروه‌های متفرقه، مشخص شد که این به‌روزرسانی به طور کامل مشکل را در تمام موارد برطرف نکرده است، ضعفی که دیتابیس ملی آسیب‌پذیری امریکا (NVD) تحت عنوان CVE-2021-45046 کدگذاری کرد.
در نتیجه، در 13 دسامبر، بنیاد آپاچی نسخه 2.16.0 را منتشر کرد که به طور کامل پشتیبانی از الگوهای message lookup را حذف می‌کند، بنابراین به طور کامل در را به روی عملکرد JNDI می‌بندد و احتمالاً تیم‌های توسعه پس از این آپدیت مجبور می‌شوند به سراغ کدبیس خود بروند و material section هایی را که وظیفه‌ی لاگ‌کردن را برعهده دارند، به‌روزرسانی کنند.

ساده به نظر می رسد، همینطور است؟

متأسفانه این کار احتمالاً کاری بسیار سخت و بزرگ خواهد بود و به مراحل مختلفی از شناسایی تا اصلاح یا کاهش مخاطره (remediation/ mitigation) نیاز داشته باشد.

به جامعه کارشناسان تست نفوذ بپیوندید:

اصلاح

اولین اقدام شناسایی تمام برنامه‌های آسیب‌پذیر است؛ این برنامه‌ها ممکن است از تامین‌کننده‌های ثالث تهیه شده باشند یا ممکن است در خود سازمان توسعه داده شده باشند. NCSC NL لیستی از نرم‌افزارهای تحت تاثیر این آسیب‌پذیری را ارائه کرده است و در عین حال سازمان‌ها باید مشاوره‌های امنیتی ارائه شده توسط وندورها را برای کسب به‌روزترین اطلاعات دنبال کنند.
برای اپلیکیشن‌هایی که داخل سازمان توسعه یافته‌اند، سازمان‌ها دست‌کم باید کتابخانه‌های Log4j خود را به آخرین نسخه به‌روزرسانی کنند (که از تاریخ ۱۴-۱۲-۲۰۲۱ و نسخه 2.16 است) و به اصطلاح mitigation ها را اعمال کنند که شامل افزودن یک پارامتر به تمام اسکریپت‌های راه‌اندازی جاوا است و تنظیمات به‌روزرسانی ماشین مجازی جاوا را به جدیدترین و ایمن‌ترین نسخه‌ها شدیداً تشویق می‌کند. تیم امنیتی آپاچی طی گزارشی تکمیلی فهرستی از تمام پروژه‌های آسیب‌دیده‌ی آپاچی را منتشر کرده است که می‌تواند برای تسریع شناسایی و تشخیص آسیب‌پذیری‌ها مفید باشد.

حال به دو نوع بررسی می‌رسیم؛ بررسی‌های «از راه دور» (remote)، مانند همان اکسپلویت از راه دوری که مهاجم انجام می‌دهد، در مقابل بررسی‌های «احراز هویت‌شده» (authenticated) فایل‌سیستم‌های local. بررسی‌های از راه دور باید هم از طریق آدرس IP و هم با نام دامنه یا نام هاست مجازی کاملاً بررسی شده باشد؛ چرا که ممکن است الگوریتم‌های روتینگ متفاوتی وجود داشته باشد که با اسکن از طریق آدرس IP شناسایی نشوند.
این اقدامات باید هر وقت که یک نمونه آسیب‌پذیر از Log4j دیده شد، انجام شود. تصور نکنید که این مشکل فقط برای سیستم‌های مبتنی بر اینترنت یا سیستم‌های live-running پیش می‌آید. ممکن است batch job هایی وجود داشته باشد که به صورت ساعتی، روزانه، هفتگی، ماهانه و غیره بر روی داده‌های ذخیره‌شده اجرا می‌شوند که ممکن است شامل استرینگ‌های اکسپلویت باشد که می‌تواند اجرای اکسپلویت را تریگر کند.

فارنزیک

حملات دست‌کم از اول دسامبر 2021 فعال بوده‌اند و شواهد نشان می‌دهد که این نقص از مارس 2021 شناسایی شده است. بنابراین، هوشیارانه است که رویکرد ” assume breach” را اتخاذ کنید. توجه داشته باشید که این حمله فقط یک حمله مبتنی بر وب نیست. نشانه‌های اولیه و کاملا عمومی اکسپلویت شامل تغییر نام دستگاه‌های iOS و خودروهای تسلا بود. هر دوی این شرکت‌ها به طور مرتب متاداده‌ها را از دستگاه‌های مربوطه خود بازیابی می‌کنند و به نظر می‌رسد استرینگ‌های مذکور در جایی از زنجیره پردازش به کنترل‌کننده‌های Log4j منتقل شده‌اند. باید تمام لاگ‌های سیستم‌های مبتنی بر اینترنت و لاگ‌های هر جایی را که در آن پردازش Log4j انجام می‌شود، بازبینی کنید.

اکسپلویت‌ها عموماً لازم دارند که پس از استقرار، چیزهایی را از منابع خارجی متعلق به مهاجم دانلود کنند (همانطور که در هر حمله‌ای پس از دستیابی به دسترسی اولیه می‌بینیم)، بنابراین راهکارهای امنیتی که فرایندهایی برای تشخیص الگوهای رفتاری بدافزارها و حملات دارند، ممکن است قبلاً برخی از این حملات را شناسایی یا متوقف کرده باشند. نقص Log4j اجازه می‌دهد که مسیرهای نسبتاً هوشمندانه‌ای برای نشت داده‌ها، به ویژه از نوع DNS وجود داشته باشد. مهاجمان مقادیر را از متغیرهای محیطی و فایل‌هایی که آدرس مشخصی در فایل‌سیستم دارند بیرون می‌کشند و نام‌های دامنه را از آنها ایجاد می‌کنند. این بدان معناست که سازمان‌ها باید لاگ‌های کوئری DNS را تا آنجا که ممکن است بررسی کنند.
توجه: این کار ممکن است کمی زمان ببرد، اما حتماً باید انجام شود تا مطمئن شوید که از پیش قربانی حملات نشده‌اید.

رویکرد Proactive (فعال)

سازمان‌ها برای احتیاط بیشتر باید در زمان نشت داده‌ها بخش‌های IP حیاتی (جایی که Log4j در آن قرار داشته است) را مجدداً شماره‌گذاری کنند، در سیستم‌های حیاتی (جایی که Log4j در آن قرار داشته است) نام هاست را تغییر بدهند و اطلاعات هویتی را ریست کنند. به ویژه آنهایی که با Amazon AWS و سایر تأمین‌کنندگان cloud مرتبط هستند.

چه کسانی باید به log4shell توجه داشته باشند؟

تقریباً هر سازمانی، صرف نظر از اندازه، بخش یا جغرافیا. اگر هر نوع حضوری در وب دارید یا به اینترنت متصل می‌شوید، باید مراقب باشید و وضعیت خود را بررسی کنید. اگر تمام جنبه‌های فنی کسب و کار خود را برون سپاری می‌کنید، از وندورهای خود بپرسید که در مورد این موضوع چه اقداماتی صورت می‌دهند.

چه کسانی و چگونه اکسپلویت می‌کنند؟

به نوعی… هر کسی می‌تواند این آسیب‌پذیری را اکسپلویت کند.
محققین امنیتی (برخی به صورت مستقل و برخی از اعضای سازمان‌های امنیت سایبری) از این اکسپلویت برای به دست آوردن درک اولیه از سطح حمله‌ی مبتنی بر اینترنت استفاده می‌کنند.
مهاجمان سایبری نیز بسیار فعال هستند و می‌خواهند قبل از اینکه سازمان‌ها پچ‌های خود را نصب کنند، از این آسیب‌پذیری استفاده کنند. بات‌نت‌هایی مانند Mirai، خود را برای استفاده از کد اکسپلویت جهت انجام حملات نشت داده‌های حساس و کسب دسترسی اولیه به سیستم‌ها (برخی در عمق سازمان‌ها) سازگار کرده‌اند.
گروه‌های باج‌افزاری از قبل وارد عمل شده‌اند و ضعف Log4j را تبدیل به اسلحه‌ای برای تهدید سازمان‌ها کرده‌اند.

اوضاع چطور پیش می‌رود؟

این کمپین‌ها تازه اول کار است. حملات پیچیده‌تر از سوی گروه‌های جدی‌تر و توانمندتر در روزها، هفته‌ها و ماه‌های آینده رخ خواهد داد و احتمالاً بیشتر روی نرم‌افزارهای درجه یک سازمانی که آسیب‌پذیر هستند، تمرکز خواهند کرد.
بیشتر حملات اولیه از طریق نقاط تزریق داخل وب سایت (website-focused injection points) مثلاً فیلدهای ورودی، باکس‌های جستجو، هدرها و غیره) انجام می‌شود. کمپین‌های پیشرفته‌تری وجود خواهند داشت که اندپوینت‌های API را (حتی APIهای «پنهان» که بخشی از اپلیکیشن‌های موبایلی شرکت هستند) هدف قرار می‌دهند و سعی می‌کنند از راه‌های موذیانه‌ای استرینگ‌های اکسپلویت را از گیت عبور دهند (مانند تغییر نام دستگاه iOS).
حتی سازمان‌هایی که برنامه‌های دیپلوی‌شده را اصلاح کرده‌اند ممکن است برخی از ایمیج‌های کانتینرها یا ماشین مجازی را که مرتباً یا به‌ندرت فعال می‌شوند، جا انداخته باشند. حملات Log4Shell به راحتی اتوماسیون می‌شوند و این حملات را مثل حملات WannaCry و Conficker به کرات مشاهده خواهیم کرد (بله، هنوز هم شاهد اکسپلویت‌های بسیار زیادی از این آسیب‌پذیری‌ها هستیم).

آیا نگران آسیب‌پذیری‌های مشابه در سیستم‌های دیگر باشیم؟

در آینده نزدیک، تیم‌های امنیتی باید توجه خود را صرف شناسایی سیستم‌های دارای پکیج‌های Log4j کنند.
در بلندمدت، با وجود اینکه پیش‌بینی شناسایی آسیب‌پذیری‌های مشابه غیرممکن است، می‌دانیم که کاهش و غلبه بر CVE-2021-44228 مستلزم توجه مستمر تیم‌های امنیت، زیرساخت و برنامه‌نویسی است.
در کنار Log4Shell، آسیب‌پذیری CVE-2021-4104 را نیز داریم – که در 9 دسامبر 2021 گزارش شد – یک نقص در کتابخانه لاگ جاوا Apache Log4j در نسخه 1.x. JMSAppender که در برابر deserialization داده‌های نامطمئن آسیب‌پذیر است. اگر برنامه دیپلوی شده برای استفاده از JMSAppender و JMS Broker مهاجم پیکربندی شده باشد، مهاجم می‌تواند کد را از راه دور روی سرور اجرا کند. توجه داشته باشید که این نقص بر برنامه‌هایی تأثیر می گذارد که به طور خاص برای استفاده از JMSAppender پیکربندی شده‌اند که به طور پیش فرض انجام نمی‌شود. زمانی که مهاجم دسترسی ویرایش پیکربندی Log4j دارد تا JMSAppender را به JMS Broker خود بیفزاید، نیز خطرناک است.
وکتورهای حمله مورد استفاده در اکسپلویت Log4Shell و میتیگیشن‌های گزارش شده در روز جمعه که توسط Snyk.io و کمپین جاوا گزارش شده است، همچنان در حال تکامل هستند؛ بنابراین، بهتر است دائماً در مورد این تهدید هوشیار باشیم. در اقدامات پس از حادثه (که بسیار زیاد هم هستند) حتما باید فعالیت‌هایی برای بهبود کتابخانه‌های نرم‌افزاری، کتابخانه‌های اوپن‌سورس و کتابخانه‌های Dependency گنجانده شود. در ضمن اگر پکیج‌هایی داریم که رفتاری مانند Log4j دارند و بخشی از ورودی‌های خود را وارسی نمی‌کنند، بهتر است تهدیداتی را که ممکن است از این پکیج‌ها ناشی شوند مدل کنیم؛ به خصوص حالا که فهمیده‌ایم چنین رفتاری در یک پکیج نرم‌افزاری می‌تواند چه عواقب سهمگینی به دنبال داشته باشد.

از صفر شروع کنیم؟

آیا این موضوع نشان می دهد که باید کامپایل پکیج‎‌های جانبی را متوقف کنیم و مثل گذشته خودمان هرچیزی را نیاز داشتیم از صفر بسازیم؟

در همه‌ی حوزه‌های توسعه نرم‌افزار، بحث‌های زیادی درباره استفاده از تعداد زیادی Dependency جانبی وجود داشته و دارد. امسال شاهد تلاش‌های زیادی برای آلوده‌کردن اکوسیستم‌های متعدد، از پایتون گرفته تا جاوا اسکریپت بوده‌ایم و حالا با یک آسیب‌پذیری حیاتی در یکی از اصلی‌ترین و فراگیرترین اجزای جهان فناوری اطلاعات مواجه‌ایم.
از یک سو، اتکا بر کدهایی که در داخل سازمان توسعه می‌دهید (کدهایی که بر اساس ویژگی‌های اصلی زبان برنامه نویسی انتخابی شما ساخته شده است) چندان هم رویکرد بدی نیست. می‌توان استدلال کرد که این مسئله کار مهاجمان را سخت‌تر می‌کند و باعث می‌شود که زحماتشان کمتر نتیجه بدهد.
به هر صورت، احمقانه است که به طور کامل از این جز اساسی، حاضر و آماده و پر از فیچرهای مفید چشم‌پوشی کنیم. و فراموش نکنیم که تمام نرم افزارها شبیه هم ساخته نمی‌شوند. ایده آل این است که نرم افزار ساخته شده و به اشتراک گذاشته شده توسط جامعه، در دستان توانمند بیشتری ورز داده شود و از چشم‌های تیزبین‌تر و فرصتی طولانی‌تر برای بلوغ بهره‌مند شود.

درسی که از نقص Log4Shell می‌گیریم، واضح به نظر می‌رسد: استفاده کنید، اما اعتبارسنجی و پشتیبانی داشته باشید! کتابخانه‌هایی مانند Log4j به خاطر فیچر‌های مفیدی که می‌توان به سرعت و به طور مؤثر استفاده کرد، بسیار محبوبند. با این حال، نمی‌توانید فرض کنید که همه چیز در هر اکوسیستمی خوب است و خواهد بود. اگر درخواست اولیه برای افزودن این فیچر نسبتاً احمقانه (اجرای پیام dynamic) بیشتر مورد بررسی قرار می‌گرفت و متخصصین امنیت بیشتری در جریان تأیید بودند، به احتمال زیاد در حال حاضر این پست را نمی‌خواندید.
سازمان‌ها باید همکاری بیشتری داشته باشند، فرایندهای ساخت کد و پشتیبانی را زیر نظر بگیرند و پروژه‌هایی را که به اجزای اساسی یا گسترده در محیط توسعه اپلیکیشنشان تبدیل می‌شوند، بیشتر بررسی کنند.

تأثیر SBOM چیست؟

فهرست مقادیر یا Bill of Materials نوعی inventory یا «لیست دارایی‌ها» است و از نظر مفهومی باید به سرعت بخشیدن به اقدامات اضطراری پاسخ به آسیب‌پذیری، مانند همین ماجرای Log4j که اکنون درگیر آن هستیم، کمک کند.
SBOM به نوعی یک گزارش رسمی است که شامل جزئیات و روابط زنجیره تامین اجزای مختلف نرم افزار است. در این مورد، این اجزا شامل کتابخانه‌های جاوا هستند که برای ورود به سیستم استفاده می‌شوند (مانند Log4j2).

الزامات SBOM در فرمان اجرایی ایالات متحده صادر شده در ماه مه 2021 گنجانده شده است. اگرچه الزامات بین‌المللی نیز وجود دارد، ما برای سادگی الزامات امریکایی را آورده‌ایم.

منبع: The Minimum Elements For a Software Bill of Materials (SBOM) ، صادر شده از وزارت بازرگانی، با هماهنگی اداره ملی مخابرات و اطلاعات (NTIA)، 12 ژوئیه 2021.

زمینه‌ی اطلاعات	توضیحات
نام تأمین‌کننده	نام نهادی که کامپوننت‌ها را به وجود آورده، تعریف کرده و شناسایی می‌کند.
نام جزء یا کامپوننت	نام اختصاص داده شده به واحد نرم افزاری که توسط تأمین‌کننده اصلی تعریف شده است.
نسخه‌ی کامپوننت	شاخصی که توسط تأمین‌کننده برای مشخص کردن تغییر در نرم افزار نسبت به نسخه شناسایی شده قبلی استفاده می‌شود.
مشخصه‌های منحصربه‌فرد دیگر	مشخصه‌های دیگری که برای شناسایی یک کامپوننت استفاده می‌شوند یا به عنوان کلید جستجو برای دیتابیس مربوطه عمل می‌کنند.
رابطه‌ی Dependency	توصیف رابطه‌ای که یک کامپوننت بالادستی x در نرم‌افزار y گنجانده شده است.
نویسنده اطلاعات SBOM	نام نهادی که داده‌های SBOM را برای این کامپوننت ایجاد می‌کند.
ثبت زمانی	رکورد تاریخ و زمان جمع‌آوری داده‌های SBOM

سؤالی که ذهن بسیاری از مقابله‌کنندگان با log4shell، منجمله CISO ها، توسعه‌دهندگان، مهندسان، ادمین‌های سیستم و مشتریان را مشغول کرده، این است که ورژن‌های آسیب‌دیده‌ی Log4j، در کجای اکوسیستم فنی‌شان مورد استفاده هستند. از آنجایی که محیط‌های فنی پیچیده‌تر، درهم‌تنیده‌تر و گسترده‌تر شده‌اند، نگهداری از موجودی دقیق دارایی‌ها بسیار چالش‌برانگیز شده‌است. اتکای روزافزون ما به فناوری‌های متصل به اینترنت و ظهور shadow IT مشکل را از این پیچیده‌تر نیز می‌کنند.
آسیب‌پذیری در ابزارهایی مانند Log4j که به‌طور گسترده در فن‌آوری‌ها و سیستم‌ها به کار گرفته می‌شود، نیاز به شفافیت بیشتر و به کارگیری اتوماسیون در زمینه مدیریت موجودی‌ها و دارایی را برجسته می‌کند. شاید از تاثیرات اساسی و بلندمدت Log4Shell این باشد که تمرکز سرمایه‌گذاری‌ها تغییر کند و وجود فهرستی از نرم‌افزارها و کامپوننت‌ها با SBOM که به راحتی قابل جست‌وجو باشد، بیش از پیش ضرورت یابد.

مخلص کلام این است که اگر ما در شرایطی زندگی می‌کردیم که SBOMها برای تمام پروژه‌های نرم‌افزاری یک امر ضروری بود و در روند آن‌ها پیش‌بینی می‌شد، شناسایی محصولات، دستگاه‌ها و اکوسیستم‌های آسیب‌دیده بسیار آسان‌تر از تجربه‌ی فعلی Log4Shell می‌شد و احتمالاً اصلاحات مورد نظر سریع‌تر و موثرتر اتفاق می‌افتاد.

تأثیر Log4Shell بر مقررات چیست؟

چگونه Log4Shell بر وضعیت قانون‌گذاری سازمان‌ها تأثیر می گذارد؟ آیا باید برای مطابقت با مقررات نظارتی اقدام خاصی انجام دهیم؟
به گفته Harley Geiger، کارشناس سیاست‌گذاری و خط مشی Rapid7:

«ممکن است نهادهای نظارتی وقوع Log4Shell را پیش‌بینی نکرده باشند، اما حالا که این آسیب‌پذیری کشف شده است، انتظار می‌رود شرکت‌های تحت نظارت آن را برطرف کنند. از آنجایی که برنامه‌های امنیتی سازمان‌ها به این آسیب‌پذیری گسترده و جدی رسیدگی می‌کنند، اقداماتشان باید با شرایط و گزارش‌ها مطابقت داشته باشند. برای بسیاری از شرکت‌های تحت نظارت، کشف Log4Shell اقداماتی مانند ارزیابی مجدد ریسک‌های شرکت، اثربخشی تدابیر امنیتی آن‌ها برای محافظت از سیستم‌ها و اطلاعات حساس (از جمله پچ به آخرین نسخه)، و آمادگی فرآیندهای واکنش به حادثه را برای اکسپلویت احتمالی Log4j ضروری می‌کند. بسیاری از مقررات نیز این تعهدات را برای ارائه‌دهندگان خدمات الزامی می‌کنند. اگر اکسپلویت Log4j منجر به اختلال قابل توجه در کسب و کار یا نقض اطلاعات شخصی شود، احتمالاً نهادهای نظارتی شرکت‌ها را ملزم به صدور گزارش حادثه یا اعلان نقض کنند.»

از هارلی پرسیدیم که آیا احتمال دارد شاهد اقدامی در سطح سیاست عمومی باشیم. او در پاسخ بیان کرد:
«در سطح سیاست فدرال، سازمان‌ها باید منتظر فشار مجدد برای پذیرش SBOM برای کمک به شناسایی Log4j(و سایر آسیب‌پذیری‌ها) در محصولات و محیط‌ها در آینده باشند.سازمان CISA سازمان‌های فدرال را ملزم به تسریع کاهش صدماتLog4j کرده و اطلاعات مربوط به این آسیب‌پذیری را به سرعت منتشر نموده است. این زنجیره از حوادث ممکن است به موج ارائه شدن قوانین «گزارش حوادث سایبری» که در حال حاضر در کنگره مورد بحث هستند، شدت ببخشد.

تمام این چیزها را از کجا دریافته‌ایم؟

خب، یک مشت بچه شروع به ویران کردن سرورهای Minecraft کردند و از آن نقطه همه چیز به سرازیری افتاد. در حالی که حقیقتی در این ادعا وجود دارد، واقعیت این است که این مشکل در اواخر نوامبر سال ۲۰۲۱ بر روی پروژه Log4j فایل شد. کد proof of concept در اوایل دسامبر منتشر شد و حملات فعال پس از آن اتفاق افتاد. برخی از وندورهای امنیت سایبری شواهدی در اختیار دارند که نشان می‌دهد حملات مقدماتی از اول دسامبر سال ۲۰۲۱ آغاز شدند.
البته هر کسی که پی‌گیر مباحث مرتبط بوده باشد (چیزی که هم توسعه دهندگان، مدافعان و هم مهاجمان به‌طور منظم انجام می‌دهند) متوجه گپی که فیچر مذکور دلیلش بود، شده‌اند.

از کی این مشکل را داریم؟

شواهدی مبنی بر درخواست اضافه شدن این عملکرد در سال ۲۰۱۳ وجود دارد. در یک سخنرانی در بلک هت ۲۰۱۶ آمریکا به وکتورهای اجرای کد از راه دور برای تزریق JNDI اشاره شد، ولی مستقیماً صحبتی از Log4j به میان نیامد.
برخی از PoC هایی که نقطه ضعف JNDI Lookup در Log4j 2.x را هدف قرار می‌دهند هم در مارس ۲۰۲۱ کشف شدند.
امروز شاهد همه‌گیری استراتژی ارعاب، عدم قطعیت و تردید (FUD) هستیم و احتمالاً در هفته‌ها و ماه‌های آینده نیز باقی خواهد ماند. در حالی که اتخاذ یک رویکرد «assumed breach» برای هر آسیب‌پذیری معروفی مناسب نیست، گستردگی و وابستگی مجازی (transitive dependency) کتابخانه Log4j، در کنار تکنیک‌های پیچیده و پنهان اکسپلویت که در حال حاضر شاهد هستیم، نشان می‌دهد که نباید بپرسیم «چه مدت است که این مشکل را داریم؟» بلکه باید پرسید «چقدر زمان برای آماده‌سازی ذهنی خودمان (و تطبیق انتظارات) برای اصلاح نیاز داریم؟»

آیا به‌روزرسانی کافی است؟

شنیده‌ام که به‌روزرسانی کار نمی‌کند و حتی اگر به‌روزرسانی کرده باشید هم مورد اکسپلویت قرار می‌گیرید. آیا ترس من به جاست؟
اگر به نسخه ۲٫۱۵ (فیکس اورجینال) یا نسخه ۲٫۱۶ آپدیت کرده‌اید (آخرین فیکس)، لازم نیست وحشت کنید. درست است که به‌روزرسانی نسخه ۲٫۱۵ «برای برخی پیکربندی‌های غیرپیش‌فرض ناقص بود» که آن هم به‌عنوان یک آسیب‌پذیری جداگانه با شناسه CVE-2021-45046 شناسایی شد، اما به این کلمات کلیدی توجه کنید: «برای برخی پیکربندی‌های غیرپیش‌فرض».
اساساً، هنگامی که یک پیکربندی ورود به سیستم از یک Pattern Layout غیر پیش‌فرض با Context Lookup استفاده می‌کند، هکرهایی که کنترل داده‌های ورودی Thread Context Map (MDC) را داشته باشند، می‌توانند با استفاده از JNDI Lookup داده‌های ورودی مخرب تولید کنند. این اتفاق می‌تواند به حملات DoS ختم شود. ما اکنون می‌دانیم که می‌تواند منجر به نشت اطلاعات و در برخی موارد خاص RCE هم شود. به همین علت، امتیاز این آسیب‌پذیری در وبسایت بنیاد آپاچی از ۳٫۷ به ۹٫۰ ارتقاء پیدا کرد.
اما RCE در حال حاضر فقط در mac OS گزارش شده‌است و هیچ اکسپلویتی نیز از سوی گروه‌های متفرقه گزارش نشده‌است، بنابراین هنوز زمان وحشت کردن نیست. نکته اصلی این است که شما باید در اسرع وقت به نسخه ۲٫۱۶ به روز رسانی کنید، اما اگر از تنظیمات غیرپیش‌فرض استفاده نمی‌کنید، نسخه ۲٫۱۵ هم احتمالاً شما را پوشش خواهد داد.

حملات باج‌افزاری و log4shell

شنیده‌ام که حملات باج افزاری علیه این آسیب‌پذیری رخ داده است. باید وحشت کنم؟

درست است که در گزارش‌هایی گروه باج‌افزار Conti از CVE-2021-44228 (Log4Shell) برای انجام حملات استفاده کرده است. طبق گزارشی ازAdvIntel گروه Conti با هدف قرار دادن نمونه‌های آسیب‌پذیر Log4j2 در حال آزمایش اکسپلویتی در VMware vCenter است. در این گزارش آمده است که اکسپلویت مورد نظر «برای حمله حرکت عرضی (lateral movement) مستقیم از شبکه آسیب‌دیده است که دسترسی به vCenter را فراهم آورده و تمام شبکه‌های قربانی در ایالات متحده و اروپا را از طریق سشن‌های از پیش موجود Cobalt Strike تحت تأثیر قرار می‌دهد». بابت این موضوع نباید وحشت کرد، اما ممکن است در هفته‌های آینده شاهد اکسپلویت‌های باج‌افزاری بسیار گسترده‌تر باشیم، و این دلیل دیگری است برای اینکه باید در اسرع وقت به آخرین نسخه (نسخه ۲٫۱۶) بروزرسانی کنید.

چالش قوانین ضدهک در امریکا

آیا اسکن کردن برنامه‌ها یا سیستم‌های آسیب‌پذیر بلامشکل است؟

اگر صاحب یا اجاره‌کننده سیستم هستید و مجوز دارید، اسکن کردن برای شناسایی برنامه‌ها یا سیستم‌های آسیب‌پذیر گامی درست است – در واقع، ما قویاً توصیه می‌کنیم این کار را انجام دهید تا بتوانید پچ کنید.

علاوه بر این، در حالی که قوانین در کشورهای مختلف متفاوت هستند، اغلب قوانین ضد هک حول محور عدم تجاوز از سطح دسترسی مجاز یا دسترسی به سیستم‌های بدون مجوز است، بنابراین اسکن دارایی‌های شخص دیگری بدون مجوز ممکن است مغایر قانون باشد.

هارلی گایگر، قانون Computer Fraud and Abuse Act (CFAA) از قوانین ضدهک ایالات متحده را در توییتی توضیح می‌دهد:

«اگر تست شما شامل نشت غیرمجاز داده‌های غیرعمومی از سیستم هدف باشد یا باعث شود سیستم هدف، کد اجرایی شما را بدون مجوز دانلود کند، حتی اگر این کار با حسن نیت انجام شده باشد، باید دست نگهدارید و برای خود وکیل بگیرید».