بسم الله الرحمن الرحيم
اكتشاف ثغرة أمنية حرجة في مكتبة Apache Log4j وكيفية الحماية منها
اكتشف الباحثون ثغرة أمنية حرجة في مكتبة Apache Log4j، والتي حصلت على درجة خطورة 10/10 وفقًا لنظام تصنيف الثغرات المشترك (CVSS).
أفادت عدة مصادر إخبارية عن اكتشاف ثغرة أمنية خطيرة CVE-2021-44228 في مكتبة Apache Log4j، والتي تُستخدم في ملايين تطبيقات Java لتسجيل رسائل الخطأ. ولزيادة الأمر خطورة، بدأ المهاجمون بالفعل في استغلال هذه الثغرة الأمنية. لهذا السبب، توصي مؤسسة Apache جميع المطورين بتحديث المكتبة إلى الإصدار 2.15.0، وإذا تعذر ذلك، يُنصح باستخدام إحدى الطرق البديلة الموضحة في صفحة الثغرات الأمنية الخاصة بـ Apache Log4j.
ما يجعل CVE-2021-44228 خطيرة للغاية هو سهولة استغلالها؛ حتى المهاجم عديم الخبرة يمكنه تنفيذ هجوم ناجح باستخدام هذه الثغرة. ووفقًا للباحثين، يحتاج المهاجم فقط إلى إجبار التطبيق على تسجيل سلسلة نصية معينة، وبعد ذلك يتمكن من تحميل التعليمات البرمجية الخاصة به إلى التطبيق بسبب وظيفة message lookup substitution function.
تتوفر بالفعل إثباتات لمفهوم (PoC) الهجمات التي تستغل CVE-2021-44228 على الإنترنت، ولذلك ليس من المستغرب أن تقوم شركات الأمن السيبراني برصد عمليات مسح واسعة النطاق على الشبكات بحثًا عن التطبيقات المعرضة للخطر، بالإضافة إلى الهجمات على مصائد القراصنة (honeypots).
تم اكتشاف هذه الثغرة الأمنية بواسطة Chen Zhaojun من فريق Alibaba Cloud Security Team.
تستخدم العديد من شركات البرمجيات والخدمات عبر الإنترنت مكتبة Log4j، ومن بينها:
Amazon
Apple iCloud
Cisco
Cloudflare
ElasticSearch
Red Hat
Steam
Tesla
Twitter
نظرًا لأن المكتبة تحظى بشعبية كبيرة، يتوقع خبراء أمن المعلومات زيادة كبيرة في الهجمات على الخوادم المعرضة لهذه الثغرة خلال الأيام المقبلة.
أفضل طريقة للحماية:
قم بتحديث المكتبة إلى الإصدار 2.15.0، والذي يمكن تنزيله من صفحة المشروع الرسمية.
إذا تعذر التحديث، توصي مؤسسة Apache باستخدام إحدى طرق تقليل المخاطر:
بالنسبة لإصدارات Log4j من 2.10 إلى 2.14.1:
قم بتعيين خاصية النظام التالية:
اكتشاف ثغرة أمنية حرجة في مكتبة Apache Log4j وكيفية الحماية منها
اكتشف الباحثون ثغرة أمنية حرجة في مكتبة Apache Log4j، والتي حصلت على درجة خطورة 10/10 وفقًا لنظام تصنيف الثغرات المشترك (CVSS).
أفادت عدة مصادر إخبارية عن اكتشاف ثغرة أمنية خطيرة CVE-2021-44228 في مكتبة Apache Log4j، والتي تُستخدم في ملايين تطبيقات Java لتسجيل رسائل الخطأ. ولزيادة الأمر خطورة، بدأ المهاجمون بالفعل في استغلال هذه الثغرة الأمنية. لهذا السبب، توصي مؤسسة Apache جميع المطورين بتحديث المكتبة إلى الإصدار 2.15.0، وإذا تعذر ذلك، يُنصح باستخدام إحدى الطرق البديلة الموضحة في صفحة الثغرات الأمنية الخاصة بـ Apache Log4j.
سبب خطورة CVE-2021-44228
تعرف هذه الثغرة أيضًا باسم Log4Shell أو LogJam، وهي من نوع تنفيذ التعليمات البرمجية عن بُعد (RCE). إذا نجح المهاجمون في استغلالها على أحد الخوادم، فسيحصلون على القدرة على تنفيذ تعليمات برمجية عشوائية، مما قد يؤدي إلى السيطرة الكاملة على النظام.ما يجعل CVE-2021-44228 خطيرة للغاية هو سهولة استغلالها؛ حتى المهاجم عديم الخبرة يمكنه تنفيذ هجوم ناجح باستخدام هذه الثغرة. ووفقًا للباحثين، يحتاج المهاجم فقط إلى إجبار التطبيق على تسجيل سلسلة نصية معينة، وبعد ذلك يتمكن من تحميل التعليمات البرمجية الخاصة به إلى التطبيق بسبب وظيفة message lookup substitution function.
تتوفر بالفعل إثباتات لمفهوم (PoC) الهجمات التي تستغل CVE-2021-44228 على الإنترنت، ولذلك ليس من المستغرب أن تقوم شركات الأمن السيبراني برصد عمليات مسح واسعة النطاق على الشبكات بحثًا عن التطبيقات المعرضة للخطر، بالإضافة إلى الهجمات على مصائد القراصنة (honeypots).
تم اكتشاف هذه الثغرة الأمنية بواسطة Chen Zhaojun من فريق Alibaba Cloud Security Team.
ما هو Apache Log4j ولماذا تحظى هذه المكتبة بشعبية كبيرة؟
تعد Apache Log4j جزءًا من مشروع Apache Logging، وهي واحدة من أسهل الطرق لتسجيل الأخطاء في تطبيقات Java، ولهذا السبب يستخدمها معظم المطورين.تستخدم العديد من شركات البرمجيات والخدمات عبر الإنترنت مكتبة Log4j، ومن بينها:
Amazon Apple iCloud Cisco Cloudflare ElasticSearch Red Hat Steam Tesla Twitterنظرًا لأن المكتبة تحظى بشعبية كبيرة، يتوقع خبراء أمن المعلومات زيادة كبيرة في الهجمات على الخوادم المعرضة لهذه الثغرة خلال الأيام المقبلة.
ما هي إصدارات Log4j المعرضة للهجوم وكيف يمكنك حماية خوادمك؟
جميع إصدارات Log4j من 2.0-beta9 إلى 2.14.1 معرضة للخطر. أفضل طريقة للحماية:قم بتحديث المكتبة إلى الإصدار 2.15.0، والذي يمكن تنزيله من صفحة المشروع الرسمية.
إذا تعذر التحديث، توصي مؤسسة Apache باستخدام إحدى طرق تقليل المخاطر: بالنسبة لإصدارات Log4j من 2.10 إلى 2.14.1:قم بتعيين خاصية النظام التالية:
التعديل الأخير بواسطة المشرف:
