شیوه مقابله ابر آروان با آسیبپذیری Log4j
تاریخ انتشار
چهارشنبه ۲۴ آذر ۱۴۰۰ ساعت ۲۰:۰۲
آیتیمن- روز ۹ دسامبر ۲۰۲۱ آسیبپذیری جدید و مهمی با نام CVE-2021-44228 برای کتابخانه Log4j اعلام و بلافاصله پس از آن، کدهای اکسپلوییت متعددی برای بررسی و سواستفاده از آن منتشر شد.
هنگامی که یک CVE جدید اعلام میشود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.
• ایمنسازی سرویسهای داخلی دربرابر آسیبپذیری
• ایمنسازی کاربرانی که از CDN برای وبسایت و اپلیکیشن خود استفاده میکنند
از این رو در ساعات اولیه اعلام این آسیبپذیری در ابر آروان به دنبال راه حلی برای موضوعات بالا بودیم.
آسیبپذیری CVE-2021-44228 چیست؟
این آسیبپذیری در کتابخانه Log4j که یک کتابخانه پردازش لاگ در جاوا به شمار میآید، یافت شده و به دلیل پر استفاده بودن آن، به شکل گسترده در نرمافزارهای سازمانی که با جاوا توسعه داده شدهاند به کار میرود که اکنون میتواند هدف حملات مخرب قرار گیرد.
آسیبپذیری CVE-2021-44228 از آن رو اهمیت دارد که نرمافزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمانها مورد استفاده قرار میگیرند از این کتابخانه استفاده میکنند.
آسیبپذیری مذکور به حملهکننده این امکان را میدهد که از طریق ارسال یک Payload در درخواستهای HTTP باعث اجرا شدن کدهای مخرب خود در سرویسهای داخلی که دارای این ضعف امنیتی هستند، شود.
این PayLoad میتواند در هر کدام از پارامترهای HTTP باشد. مانند:
• URI
• User Agent
• Body
• Referer
با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حملهکننده قرار میگیرد.
چه کسانی تحت تاثیر قرار میگیرند؟
اگر در هر یک از مراحل پردازش درخواستهای HTTP یکی از پارامترهای Body, User Agent, URL, Referer را لاگ میکنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده میکنید، به احتمال بسیار زیاد تحت تاثیر این آسیبپذیری قرار میگیرید.
نمونه یکی از درخواستهای مخرب لاگ شده
از نظر گستردگی و میزان تخریب، این آسیبپذیری جزو موارد بسیار شدید دستهبندی میشود.
نمونهی یکی از درخواستهای مخرب که در CDN آروان لاگ شده است را میتوانید در تصویر زیر ببینید. در این UA میتوان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).
اقدامات انجامشده برای رفع این مشکل
جمعه: رفع آسیبپذیری CVE-2021-44228 در سرویسهای داخلی
بر اساسی گزارشی که شرکت Apache منتشر کرد به کمک روشهای زیر میتوان در برابر این آسیبپذیری ایمن بود:
• بهروزرسانی به نسخه Log4j 2.15.0
• اگر از نسخه Log4J 2.10 و بالاتر استفاده میکنید و امکان آپگرید ندارید این مقدار را در تنظیمات وارد کنید:
• کلاس JndiLookup را از مسیر کلاسها پاک کنید. مثلن میتوانید از دستور زیر استفاده کنید:
با توجه به اهمیت سرویسهای لاگ در محصولات ابری آروان، برای پردازش لاگها در قسمتهای متعددی از ابزارهای توسعه داده شده توسط آپاچی استفاده میشود:
• Apache Kafka
• Elastic Search
• LogStash
• Apache Flink
…
با توجه به دستورالعملهای منتشر شده به وسیله آپاچی، این آسیبپذیریها در ساعات اولیه برطرف شدند.
تلاش ابر آروان برای حفاظت از کاربران CDN در برابر آسیبپذیری CVE-2021-44228
شنبه: قوانین جدید برای مسدودسازی به WAF ابر آروان اضافه شد
برای کاربرانی که از سیستم WAF ابر آروان برای حفاظت در برابر حملات اینترنتی استفاده میکردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:
یکشنبه: قانون فایروال برای تمام کاربران CDNاضافه شد
به دلیل وسیع بودن دامنه این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواستهای مخرب را مسدود کند.
برای ایمن ماندن چه کارهایی میتوان انجام داد؟
اگر کاربر CDN ابر آروان هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعملهایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
اگر هنوز موفق به این کار نشدهاید و یا همچنان در بخشهایی از سیستمهای داخلیتان این آسیبپذیری را مشاهده میکنید، پیشنهاد میکنیم دامنهی خود را به CDN آروان انتقال دهید.
تلاش ابر آروان برای حفاظت از کاربران CDN در برابر آسیبپذیری CVE-2021-44228
شنبه: قوانین جدید برای مسدودسازی به WAF ابر آروان اضافه شد
برای کاربرانی که از سیستم WAF ابر آروان برای حفاظت در برابر حملات اینترنتی استفاده میکردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:
یکشنبه: قانون فایروال برای تمام کاربران CDNاضافه شد
به دلیل وسیع بودن دامنه این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواستهای مخرب را مسدود کند.
برای ایمن ماندن چه کارهایی میتوان انجام داد؟
اگر کاربر CDN ابر آروان هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعملهایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
اگر هنوز موفق به این کار نشدهاید و یا همچنان در بخشهایی از سیستمهای داخلیتان این آسیبپذیری را مشاهده میکنید، پیشنهاد میکنیم دامنهی خود را به CDN آروان انتقال دهید.