كشفت ثغرة أمنية خطيرة تم تحديدها في مكتبة تسجيل Log4j Java عن مساحات كبيرة من الإنترنت لعناصر ضارة.
صفر يوم تعد عمليات الاستغلال سيئة للغاية، خاصة عندما يتم تحديدها في برامج منتشرة في كل مكان مثل مكتبة تسجيل Apache's Log4j. تمت مشاركة ثغرة إثبات المفهوم عبر الإنترنت والتي تعرض الجميع لهجمات محتملة لتنفيذ التعليمات البرمجية عن بعد (RCE)، وقد أثرت على بعض أكبر الخدمات على الويب. تم تحديد الاستغلال على أنه "يتم استغلاله بشكل نشط"، وهو أحد أخطر برمجيات إكسبلويت التي تم نشرها للعامة في السنوات الأخيرة.
Log4j عبارة عن حزمة تسجيل شائعة تعتمد على Java تم تطويرها بواسطة مؤسسة Apache Software Foundation، وهي CVE-2021-44228 يؤثر على كافة إصدارات Log4j بين الإصدار 2.0-beta-9 والإصدار 2.14.1. وقد تم تصحيحه في الإصدار الأخير من المكتبة، الإصدار 2.15.0، صدر قبل بضعة أيام. تعتمد العديد من الخدمات والتطبيقات على Log4j، بما في ذلك ألعاب مثل Minecraft، حيث تم اكتشاف الثغرة الأمنية لأول مرة. كما تبين أيضًا أن الخدمات السحابية مثل Steam وApple iCloud معرضة للخطر، ومن المحتمل أن يكون أي شخص يستخدم Apache Struts معرضًا للخطر أيضًا. حتى أن تغيير اسم هاتف iPhone ظهر أنه يؤدي إلى ظهور الثغرة الأمنية على خوادم Apple.
وكانت هذه الثغرة الأمنية اكتشف بواسطة Chen Zhaojun من فريق Alibaba Cloud Security. أي خدمة تسجل السلاسل التي يتحكم فيها المستخدم كانت عرضة للاستغلال. يعد تسجيل السلاسل التي يتحكم فيها المستخدم ممارسة شائعة من قبل مسؤولي النظام من أجل اكتشاف إساءة استخدام النظام الأساسي المحتملة، على الرغم من ذلك يجب بعد ذلك "تطهير" السلاسل - وهي عملية تنظيف مدخلات المستخدم للتأكد من عدم وجود أي شيء ضار بالبرنامج الجاري تشغيله مُقَدَّم.
ينافس Log4Shell Heartbleed في خطورته
أُطلق على هذه الثغرة اسم "Log4Shell"، لأنها عبارة عن ثغرة أمنية غير مصادق عليها في RCE تسمح بالسيطرة الكاملة على النظام. هناك بالفعل أ استغلال إثبات المفهوم عبر الإنترنت، ومن السهل للغاية إثبات أنه يعمل من خلال استخدام برنامج تسجيل DNS. إذا كنت تتذكر نزيف القلب الثغرة الأمنية منذ عدة سنوات مضت، من المؤكد أن Log4Shell ينافسها على أموالها عندما يتعلق الأمر بخطورتها.
"على غرار الثغرات الأمنية البارزة الأخرى مثل Heartbleed وShellshock، نعتقد أن هناك "سيكون هناك عدد متزايد من المنتجات المعرضة للخطر التي سيتم اكتشافها في الأسابيع المقبلة" هجوم راندوري فريق قال في مدونتهم اليوم. وأضافوا: "نظرًا لسهولة الاستغلال واتساع نطاق التطبيق، نشتبه في أن الجهات الفاعلة في برامج الفدية ستبدأ في الاستفادة من هذه الثغرة الأمنية على الفور". تقوم الجهات الفاعلة الضارة بالفعل بمسح شامل للويب لمحاولة العثور على خوادم لاستغلالها (عبر الكمبيوتر النائم).
"العديد والعديد من الخدمات معرضة لهذا الاستغلال. وقد تبين بالفعل أن الخدمات السحابية مثل Steam وApple iCloud وتطبيقات مثل Minecraft معرضة للخطر،" LunaSec كتب. "من المحتمل أن يكون أي شخص يستخدم Apache Struts عرضة للخطر. لقد رأينا ثغرات مماثلة تم استغلالها من قبل في انتهاكات مثل خرق بيانات Equifax عام 2017." وقالت LunaSec أيضًا أن إصدارات Java أكبر من 6u211، و7u201، و8u191، و11.0.1 هي الأقل تأثرًا من الناحية النظرية، على الرغم من أن المتسللين قد يظلون قادرين على التغلب على المشكلة محددات.
ويمكن أن تنشأ الثغرة الأمنية عن طريق شيء عادي مثل اسم هاتف iPhone، مما يدل على أن Log4j موجود حقًا في كل مكان. إذا تم إلحاق فئة Java بنهاية عنوان URL، فسيتم إدخال هذه الفئة في عملية الخادم. يمكن لمسؤولي النظام الذين لديهم إصدارات حديثة من Log4j تنفيذ JVM الخاص بهم باستخدام الوسيطة التالية أيضًا لمنع استغلال الثغرة الأمنية، طالما إنهم على الأقل Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=true
أصدر CERT NZ (فريق الاستجابة لطوارئ الكمبيوتر الوطني في نيوزيلندا) تحذيرًا استشاريًا أمنيًا بشأن الاستغلال النشط في البرية، وهذا ما أكده أيضًا مدير التحالف الهندسي - الأمن تياجو هنريكس و الخبير الأمني كيفن بومونت. كما اعتبرت Cloudflare الثغرة الأمنية خطيرة جدًا بحيث يتم منح جميع العملاء "بعض" الحماية بشكل افتراضي.
يعد هذا استغلالًا خطيرًا للغاية ويمكن أن يحدث فوضى على الإنترنت. سنراقب عن كثب ما سيحدث بعد ذلك.