آنچه لازم است درباره Log4Shell بدانید

مهاجم این رشته را در جایی قرار می‌دهد که توسط سرور ثبت شود. مانند: هدر درخواست، نام هاست، نام دستگاه یا هر تعداد از مکان‌های دیگر. سرور از Log4j می‌خواهد که این رشته را وارد کند. Log4j متغیّری را با فراخوانی JNDI می‌بیند که به یک منبع LDAP اشاره می‌کند. که در این مورد این منبع یک فایل کلاس جاوا است. سپس فایل را از سرور مهاجم بازیابی کرده و آن را از سریال جدا می‌کند تا کلاس جاوای موجود در آن دوباره ایجاد شود. و اگر آن کلاس یک RemoteShell (پوسته از راه دور) بود، متأسفانه باید بگویم که شما به تازگی هک شده‌اید.

چگونه آسیب پذیری Log4Shell را شناسایی کنیم؟

اگر هر برنامه جاوایی دارید که از Log4j قدیمی‌تر از 2.15.0 استفاده می‌کند، از طریق CVE-2021-44228، در برابر RCE آسیب‌پذیر هستید. (و نسخه‌های پچ شده‌ی قدیمی‌تر از 2.17.0، اکنون آسیب‌های جدی دیگری هم دارند.) توجه داشته باشید که Log4j ممکن است به‌طور پیش‌فرض با نرم افزارهای جاوا مانند سرورهای برنامه و فریم‌ورک‌های توسعه‌دهنده ،و به‌طور بالقوه در مکان‌های مختلف نصب شود. بنابراین، حتی اگر فکر می‌کنید آن‌را در جایی نصب نکرده‌اید، دوباره بررسی کنید. برای جزئیات بیشتر در مورد آسیب‌پذیری‌ها و کاهش آن‌ها، به سایت پروژه Log4j مراجعه کنید.

به روز رسانی شده: شما می‌توانید از NetSparker (استاندارد یا شخصی سازی شده بر اساس تقاضا) برای آزمایش این‌که آیا برنامه‌های تحت وب شما در برابر حملات Log4Shell آسیب‌پذیر هستند یا خیر استفاده کنید. بررسی امنیتی Log4Shell را به فیلترهای موجود در اسکن خود اضافه کنید. یا به منظور بررسی این آسیب‌پذیری در چند دقیقه، یک فیلتر اسکن جداگانه ایجاد کنید.

نحوه تعدیل CVE-2021-44228

راه حل توصیه شده این است که سریعاً  Log4Shell خود را به نسخه 2.17.0 (یا جدیدتر) به‌روزرسانی کنید. توجه داشته باشید که پچ اولیه در نسخه 2.15.0 در برابر آسیب‌پذیری‌های جداگانه DOS و RCE آسیب‌پذیر است. (CVE-2021-45105)

همچنین پچ 2.16.0 در برابر DOS (CVE2021-4505) و حملات نامطمئن سریال‌زدایی در خطر آسیب قرار دارد. (CVE-2021-4104)

علاوه بر این، تعدیل کننده‌های موقتی که پیشتر منتشر شده بودند نیز دیگر چندان کارامد نیستند. و ممکن است حتی در برخی موارد بی اثر باشند.

اگر نمی‌توانید در حال حاضر به نسخه 2.17.0 (یا جدیدتر) به روزرسانی کنید، گزینه‌های زیر را برای تعدیل موقتی روی میز دارید. (برای دریافت اطلاعات دقیق به راهنمای تعدیل lunasec مراجعه کنید) :

• می‌توانید به‌طور دستی JNDI را تغییر دهید تا بتوانید موقتا حملات مبتنی بر JNDI را تا زمان به روز رسانی بعدی، مسدود کنید. ابزار Log4jHotpatch برای انجام این کار حتی زمانی که سرور در حال اجرا است در دسترس است. پچ کردن به صورت آنلاین و از راه دور، از طریق خودآسیب‌پذیری نیز به‌عنوان آخرین راه حل توصیه می‌شود.
• تعدیل موقت قبلی ممکن است در برخی موارد همچنان در برابر CVE-2021-44228 محافظت کند. اما به یاد داشته باشید که اکنون ممکن است در برابر یک یا چند آسیب پذیری جدید کشف شده (که در بالا عنوان شده بود) آسیب پذیر باشید. برای نسخه 10 یا بالاتر، می‌توانید با تنظیم ویژگی سیستمی log4j2.formatMsgNoLookups یا قرار دادن متغیر LOG4J_FORMAT_MSG_NO_LOOKUPS بر روی گزینه true و ری‌استارت برنامه، خطر را کاهش دهید. این کار ممکن است تأثیرگذار باشد یا نباشد، بنابراین به روز رسانی به 2.17.0 تنها اقدام مطمئن توصیه شده است.

این کار در توسعه برنامه‌های کابربردی وب در آینده چه تأثیری دارد؟

با نگاهی به عزم فراگیر و جهانی موجود برای اصلاح آسیب‌پذیری Log4Shell، داشتن یک رویکرد قوی و چند لایه امنیتی همچنان بهترین استراتژی برا ی محافظت از شرکت شما در برابر تهدیدات آینده است..