یک آسیب‌پذیری بحرانی اجرای کد از راه دور در کتابخانه Log4j کشف شده است. بهره‌برداری از این آسیب‌پذیری بسیار آسان است و مهاجمان، هم اکنون نیز در حال سوء استفاده از آن هستند. نصب به‌روزرسانی‌ها یا انجام سایر اقدامات امنیتی از اهمیت بالایی برخوردار است.

کتابخانه Log4j محصولی متن‌باز از بنیاد آپاچی است که برای ثبت وقایع (لاگ‌ها) استفاده می‌شود و نرم‌افزارهای مختلفی از آن استفاده می‌کنند. اخیراً یک باگ با درجه حساسیت بحرانی و بالاترین امتیاز ممکن یعنی 10 از 10 در این کتابخانه کشف شده است. این باگ، دارای شناسه CVE-2021-44228 است و Log4Shell نیز خوانده می‌شود.

یکی از متخصصان امنیتی شرکت علی‌بابا به اسم Chen Zhaojun این باگ را کشف و در 24 نوامبر به طور محرمانه گزارش کرد. سپس اطلاعات آن در نهم دسامبر به طور عمومی منتشر شد.

طرز کار Log4Shell

مهاجم برای بهره برداری از این آسیب پذیری باید متنی (مثل یک پیام یا نام کاربری) با رشته خاصی از کاراکترها را تولید کند و آن را به Log4j بفرستد. مهاجم میتواند این متن را به گونه ای طراحی کند که Log4j هنگام ثبت آن، به یک سرور تحت کنترل وی وصل شود و کدی را از آن دانلود و اجرا کند.

کتابخانه Log4j در محصولات بسیاری به کار رفته است و کد بهره‌برداری از Log4Shell نیز منتشر شده است. در نتیجه سوء استفاده از آن آسان است و هدف جذابی برای هکرها به شمار می‌رود. به گفته مایکروسافت، تا به حال، بیشترین حملات با استفاده از این باگ، شامل اسکن سیستم‌ها به دنبال آسیب‌پذیری بوده است. البته حملات مخرب‌تری مثل نصب ارزکاوهای غیرمجاز نیز رخ داده است. طبق گزارش کلودفلر و سیسکو تالوس، حملات هکرها روی این آسیب‌پذیری از یک دسامبر، یعنی قبل از انتشار عمومی آن، مشاهده شده است.

از وصله تا واکسن

این باگ Log4j 2 از نسخه 2.0-beta9 تا 2.14.1 را تحت تأثیر قرار می‌دهد، اما در نسخه 2.15.0 برطرف شده است. بنابراین با به‌روزرسانی Log4j به آخرین نسخه، آسیب‌پذیری برطرف می‌شود. در واقع، ابتدا باید تولیدکنندگان محصولاتی که از Log4j استفاده می‌کنند، به‌روزرسانی منتشر کنند و سپس کاربران نهایی آن به‌روزرسانی‌ها را نصب کنند.

بسیاری از تولیدکنندگان شروع به ارائه به‌روزرسانی برای محصولات خود و انتشار توصیه‌نامه‌های امنیتی کرده‌اند. به عنوان مثال، یکی از این تولیدکنندگان سیسکو است که توصیه‌نامه آن اینجا قرار گرفته است. از آنجا که ممکن است نصب به‌روزرسانی برای مشتری فوراً امکان‌پذیر نباشد، در برخی از این توصیه‌نامه‌ها اقداماتی برای کاهش تأثیر آسیب‌پذیری (mitigation) ذکر شده است.

در همین حین، شرکت Cybereason نیز برای جلوگیری از این باگ، یک «واکسن» ایجاد کرده است. این واکسن که Logout4Shell نام دارد، کد ساده‌ای است که روی گیت‌هاب قرار داده شده است. واکنش متخصصان به این واکسن یکسان نبوده است. برخی از آنها از شرکت Cybereason برای ارائه این راه حل قدردانی کرده‌اند و برخی دیگر به انتقاد از آن پرداخته‌اند. برای مثال، دکتر ریچارد فورد از شرکت Praetorian معتقد است بهره‌برداری از آسیب‌پذیری به روش‌های پیچیده‌تری نیز ممکن است که این واکسن در برابر آنها بی‌فایده است.