شیوه مقابله ابر آروان با آسیبپذیری Log۴j
اگر کاربر CDN ابر آروان هستید، برای ایمن ماندن در برابر این آسیب، دستورالعملهایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
به گزارش بازرگانی خبرگزاری مهر، در تاریخ ۹ دسامبر ۲۰۲۱ آسیبپذیری جدید و مهمی با نام CVE-۲۰۲۱-۴۴۲۲۸ برای کتابخانه Log۴j اعلام و بلافاصله پس از آن، کدهای اکسپلوییت متعددی برای بررسی و سوءاستفاده از آن منتشر شد.
هنگامی که یک CVE جدید اعلام میشود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.
ایمنسازی سرویسهای داخلی دربرابر آسیبپذیری
ایمنسازی کاربرانی که از CDN برای وبسایت و اپلیکیشن خود استفاده میکنند
از این رو در ساعات اولیهی اعلام این آسیبپذیری در ابر آروان به دنبال راه حلی برای موضوعات بالا بودیم.
آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ چیست؟
این آسیبپذیری در کتابخانه Log۴j که یک کتابخانه پردازش لاگ در جاوا به شمار میآید، یافت شده و به دلیل پر استفاده بودن آن، به شکل گسترده در نرمافزارهای سازمانی که با جاوا توسعه داده شدهاند به کار میرود که اکنون میتواند هدف حملات مخرب قرار گیرد.
آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ از آن رو اهمیت دارد که نرمافزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمانها مورد استفاده قرار میگیرند از این کتابخانه استفاده میکنند.
آسیبپذیری مذکور به حملهکننده این امکان را میدهد که از طریق ارسال یک Payload در درخواستهای HTTP باعث اجرا شدن کدهای مخرب خود در سرویسهای داخلی که دارای این ضعف امنیتی هستند، شود.
این PayLoad میتواند در هر کدام از پارامترهای HTTP باشد.
مانند:
URI
User Agent
Body
Referer
با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حملهکننده قرار میگیرد.
چه کسانی تحت تأثیر قرار میگیرند؟
اگر در هر یک از مراحل پردازش درخواستهای HTTP یکی از پارامترهای Body, User Agent, URL, Referer را لاگ میکنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده میکنید، به احتمال بسیار زیاد تحت تأثیر این آسیبپذیری قرار میگیرید.
نمونه یکی از درخواستهای مخرب لاگ شده
از نظر گستردگی و میزان تخریب، این آسیبپذیری جزو موارد بسیار شدید دستهبندی میشود.
نمونهی یکی از درخواستهای مخرب که در CDN آروان لاگ شده است را میتوانید در تصویر زیر ببینید.
در این UA میتوان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).
اقدامات انجامشده برای رفع این مشکل
جمعه: رفع آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ در سرویسهای داخلی
بر اساسی گزارشی که شرکتApache منتشر کرد به کمک روشهای زیر میتوان در برابر این آسیبپذیری ایمن بود:
بهروزرسانی به نسخهی Log۴j ۲.۱۵.۰
اگر از نسخهی Log۴J ۲.۱۰ و بالاتر استفاده میکنید و امکان آپگرید ندارید این مقدار را در تنظیمات وارد کنید:
کلاس JndiLookup را از مسیر کلاسها پاک کنید.
مثلن میتوانید از دستور زیر استفاده کنید:
با توجه به اهمیت سرویسهای لاگ در محصولات ابری آروان، برای پردازش لاگها در قسمتهای متعددی از ابزارهای توسعه داده شده توسط آپاچی استفاده میشود:
Apache Kafka
Elastic Search
LogStash
Apache Flink
…
با توجه به دستورالعملهای منتشر شده به وسیلهی آپاچی، این آسیبپذیریها در ساعات اولیه برطرف شدند.
تلاش ابر آروان برای حفاظت از کاربران CDN در برابر آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸
شنبه: قوانین جدید برای مسدودسازی به WAF ابر آروان اضافه شد
برای کاربرانی که از سیستم WAF ابر آروان برای حفاظت در برابر حملات اینترنتی استفاده میکردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:
یکشنبه: قانون فایروال برای تمام کاربران CDN اضافه شد
به دلیل وسیع بودن دامنهی این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواستهای مخرب را مسدود کند.
برای ایمن ماندن چه کارهایی میتوان انجام داد؟
اگر کاربر CDN ابر آروان هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعملهایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
اگر هنوز موفق به این کار نشدهاید و یا همچنان در بخشهایی از سیستمهای داخلیتان این آسیبپذیری را مشاهده میکنید، پیشنهاد میکنیم دامنهی خود را به CDN آروان انتقال دهید.
این مطلب، یک خبر آگهی بوده و خبرگزاری مهر در محتوای آن هیچ نظری ندارد.