Srvice Desk PARS

فروشگاه محصولات استوک و لایسنس آنتی ویروس نود32

فروشگاه محصولات استوک و لایسنس آنتی ویروس نود32 وب سایت پارس SDPARS.ir راه اندازی شد، جهت ورود به فروشگاه بر روی دکمه زیر کلیک کنید

شیوه مقابله با آسیب‌ پذیری Log4j

 

در تاریخ ۹ دسامبر ۲۰۲۱ آسیب‌ پذیری جدید و مهمی با نام CVE-2021-44228 برای کتاب‌ خانه‌ی Log4j اعلام و بلافاصله پس از آن، کدهای اکسپلوییت متعددی برای بررسی و سواستفاده از آن منتشر شد.

هنگامی که یک CVE جدید اعلام می‌شود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.

  • ایمن‌سازی سرویس‌های داخلی در برای آسیب‌ پذیری
  • ایمن‌سازی کاربرانی که از CDN برای وب‌سایت و اپلیکیشن خود استفاده می‌کنن

آسیب‌پذیری CVE-2021-44228 چیست؟

این آسیب‌ پذیری در کتاب‌خانه‌ Log4j  که یک کتاب‌خانه‌ پردازش لاگ در جاوا به شمار می‌آید، یافت شده است و به دلیل پر استفاده بودن آن، به شکل گسترده در نرم‌افزارهای سازمانی که با جاوا توسعه داده شده‌اند به کار میرود که اکنون می‌تواند هدف حملات مخرب قرار گیرد.­­

آسیب‌ پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرم‌افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان‌ها مورد استفاده قرار می‌گیرند از این کتاب‌خانه استفاده می‌کنند.

آسیب‌ پذیری مذکور به حمله‌کننده این امکان را می‌دهد که از طریق ارسال یک  Payload در درخواست های HTTP باعث اجرا شدن کدهای مخرب خود در سرویس‌های داخلی که دارای این ضعف امنیتی هستند، شود.

این PayLoad می‌تواند در هر کدام از پارامترهای HTTP باشد. مانند:

  • URI
  • User Agent
  • Body
  • Referer

با لاگ شدن هر کدام از این پارامترها که حاوی Payload  مخرب باشند، دسترسی اجرای کد در اختیار حمله‌کننده قرار می‌گیرد.

  

چه کسانی تحت تاثیر قرار می‌گیرند؟

اگر در هر یکی از مراحل پردازش درخواست‌های HTTP یکی از پارامترهای Body, User Agent, URL, Referer  را لاگ می‌کنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده می‌کنید، به احتمال بسیار زیاد تحت تاثیر این آسیب‌پذیری قرار می‌گیرید.

 

نمونه یکی از درخواست‌های مخرب لاگ شده

از نظر گستردگی و میزان تخریب، این آسیب‌ پذیری جزو موارد بسیار شدید دسته‌ بندی می‌شود.

نمونه یکی از درخواست های مخرب که در CDN لاگ شده است را می‌توانید در تصویر زیر ببینید. در این UA می‌توان Payload  مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).

{
    "timestamp": 1639293314.369,
    "uuid": "b111a870-f55f-4f3c-913b-7224a7b012ed",
    "method": "GET",
    "scheme": "https",
    "domain": "xxx",
    "uri": "/",
    "query_string": "",
    "referer": "",
    "ip": "1.2.3.4",
    "ua": "${jndi:ldap://payload}",
    "country": "IR",
    "isp": "NA",
    "asn": 1234,
    "content_type": "text/html; charset=utf-8",
    "status": 200,
    "server_ip": "1.2.3.4",
    "server_port": 443,
    "bytes_sent": 4489,
    "nbytes_received": [
        ۰
    ],
    "process_time": 0.001,
    "nupstream_time": [
        ۰
    ],
    "cache": "HIT",
    "request_id": "be9278e9a3a1a6f2ea9d3e0bc423c4d7",
    "node_id": "aaa",
    "upstream_addr": ""
}

اقدامات انجام‌شده برای رفع این مشکل

جمعه: رفع آسیب‌ پذیری CVE-2021-44228 در سرویس‌های داخلی

بر اساسی گزارشی که شرکت Apache منتشر کرد به کمک روش‌های زیر می‌توان در برابر این آسیب‌پذیری ایمن بود:

  • به‌روزرسانی به نسخه‌ی Log4j 2.15.0
  • اگر از نسخه‌ Log4J 2.10 و بالاتر استفاده میکنید و امکان آپگرید ندارید این مقدار را در تنظیمات وارد کنید:

 

log4j2.formatMsgNoLookups=true

 

  • کلاس JndiLookup را از مسیر کلاس‌ها پاک کنید. مثلن میتوانید از دستور زیر استفاده کنید:

 

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

با توجه به اهمیت سرویس‌های لاگ در محصولات، برای پردازش لاگ‌ها در قسمت‌های متعددی از ابزارهای توسعه داده شده توسط آپاچی استفاده می شود:

  • Apache Kafka
  • Elastic Search
  • LogStash
  • Apache Flink

با توجه به دستورالعمل‌های منتشر به وسیله‌ی آپاچی، این آسیب‌پذیری‌ها در ساعات اولیه برطرف شدند.

 

تلاش برای حفاظت از کاربران CDN در برابر آسیب‌پذیری CVE-2021-44228

شنبه: قوانین اضافه شده به WAF ابر آروان برای مسدود کردن

برای کاربرانی که از سیستم WAF به منظور حفاظت در برابر حملات اینترنتی استفاده می‌کردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:

قانون WAF

یک‌شنبه: اضافه شدن قانون فایروال برای تمامی کاربران CDN

به دلیل وسیع بودن دامنه‌ این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمامی کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواست‌ های مخرب را مسدود کند.

 

برای ایمن ماندن چه کارهایی می‌توان انجام داد؟

اگر کاربر CDN هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعمل‌هایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.

فرار کردن از مشکلات فقط فاصله رسیدن به راه حل را افزایش می دهد آسان ترین راه برای گریختن از مشکلات ، حل کردن آنهاست

  • اخبار
  • 20 دسامبر
  • بدون نظر
  • 63بازدید

برچسب ها :

دیدگاه ها

تمامی حقوق مطالب برای پشتیبانی از راه دور پارس ارتباط محفوظ است و هرگونه کپی برداری بدون ذکر منبع ممنوع می باشد.