چگونه با آسیب‌پذیری Log4j مقابله کنیم؟

به گزارش روابط‌َمومی ابرآروان، هنگامی که یک CVE جدید اعلام می‌شود، از نظر شبکه توزیع محتوا (CDN) به دو دلیل دارای اهمیت است.

• ایمن‌سازی سرویس‌های داخلی در برابر آسیب‌پذیری
• ایمن‌سازی کاربرانی که از CDN برای وب‌سایت و اپلیکیشن خود استفاده می‌کنند.

از این رو در ساعات اولیه اعلام این آسیب‌پذیری در ابرآروان دنبال راه‌حلی برای موضوعات بالا بودیم.

آسیب‌پذیری CVE-2021-44228 چیست؟

این آسیب‌پذیری در کتابخانه Log4j که یک کتابخانه پردازش لاگ در جاوا به شمار می‌آید یافت شده و به دلیل پراستفاده بودن آن، به شکل گسترده در نرم‌افزارهای سازمانی که با جاوا توسعه داده شده‌اند به کار می‌رود که اکنون می‌تواند هدف حملات مخرب قرار گیرد.

آسیب‌پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرم‌افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان‌ها مورد استفاده قرار می‌گیرند از این کتابخانه استفاده می‌کنند.

آسیب‌پذیری مذکور به حمله‌کننده این امکان را می‌دهد که از طریق ارسال یک Payload در درخواست‌های HTTP باعث اجرا شدن کدهای مخرب خود در سرویس‌های داخلی، که دارای این ضعف امنیتی هستند، شود.

این PayLoad می‌تواند در هر کدام از پارامترهای HTTP باشد. مانند:

• URI
• User Agent
• Body
• Referer

با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حمله‌کننده قرار می‌گیرد.

چه کسانی تحت تاثیر قرار می‌گیرند؟

اگر در هر یک از مراحل پردازش درخواست‌های HTTP یکی از پارامترهای Body, User Agent, URL, Referer را لاگ می‌کنید یا از یکی از محصولات نوشته‌شده با جاوا مانند محصولات شرکت آپاچی استفاده می‌کنید، به احتمال بسیار زیاد تحت تاثیر این آسیب‌پذیری قرار می‌گیرید.

نمونه یکی از درخواست‌های مخرب لاگ‌شده

از نظر گستردگی و میزان تخریب، این آسیب‌پذیری جزو موارد بسیار شدید دسته‌بندی می‌شود.

نمونه یکی از درخواست‌های مخرب را که در CDN آروان لاگ شده است می‌توانید در تصویر زیر ببینید. در این UA می‌توان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).

اقدامات انجام‌شده برای رفع این مشکل:

جمعه: رفع آسیب‌پذیری CVE-2021-44228 در سرویس‌های داخلی

بر اساسی گزارشی که شرکت Apache منتشر کرد، به کمک روش‌های زیر می‌توان در برابر این آسیب‌پذیری ایمن بود:

• به‌روزرسانی به نسخه‌ی Log4j 2.15.0
• اگر از نسخه Log4J 2.10 و بالاتر استفاده می‌کنید و امکان آپگرید ندارید، این مقدار را در تنظیمات وارد کنید:

• کلاس JndiLookup را از مسیر کلاس‌ها پاک کنید؛ مثلاً می‌توانید از دستور زیر استفاده کنید:

با توجه به اهمیت سرویس‌های لاگ در محصولات ابری آروان، برای پردازش لاگ‌ها در قسمت‌های متعددی از ابزارهای توسعه داده‌شده به وسیله آپاچی استفاده می‌شود:

• Apache Kafka
• Elastic Search
• LogStash
• Apache Flink
• …

با توجه به دستورالعمل‌های منتشرشده به وسیله‌ی آپاچی، این آسیب‌پذیری‌ها در ساعات اولیه برطرف شدند.

شنبه: قوانین جدید برای مسدودسازی به WAF ابرآروان اضافه شد

برای کاربرانی که از سیستم WAF ابرآروان به منظور حفاظت در برابر حملات اینترنتی استفاده می‌کردند دو قانون جدید به پنل کاربری اضافه شد، که در زیر مشاهده می‌شود:

یکشنبه: قانون فایروال برای تمام کاربران CDN اضافه شد

به دلیل وسیع بودن دامنه این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواست‌های مخرب را مسدود کند.

برای ایمن ماندن چه کارهایی می‌توان انجام داد؟

اگر کاربر CDN ابرآروان هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعمل‌هایی را که در این مقاله برشمردیم به کار گیرید.

اگر هنوز موفق به این کار نشده‌اید یا همچنان در بخش‌هایی از سیستم‌های داخلی‌تان این آسیب‌پذیری را مشاهده می‌کنید، پیشنهاد می‌کنیم دامنه خود را به CDN آروان انتقال دهید.