شیوه‌ی مقابله‌ی ابر آروان با آسیب‌پذیری Log4j

در تاریخ ۹ دسامبر ۲۰۲۱ آسیب‌پذیری جدید و مهمی با نام CVE-2021-44228 برای کتاب‌خانه‌ی  Log4j اعلام و بلافاصله پس از آن، کدهای اکسپلوییت متعددی برای بررسی و سواستفاده از آن منتشر شد.

هنگامی که یک CVE جدید اعلام می‌شود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.

  • ایمن‌سازی سرویس‌های داخلی دربرابر آسیب‌پذیری
  • ایمن‌سازی کاربرانی که از CDN برای وب‌سایت و اپلیکیشن خود استفاده می‌کنند

از این رو در ساعات اولیه‌ی اعلام این آسیب‌پذیری در ابر آروان به دنبال راه حلی برای موضوعات بالا بودیم.

 

آسیب‌پذیری CVE-2021-44228 چیست؟

این آسیب‌پذیری در کتاب‌خانه‌ی Log4j که یک کتاب‌خانه‌ی پردازش لاگ در جاوا به شمار می‌آید، یافت شده و به دلیل پر استفاده بودن آن، به شکل گسترده در نرم‌افزارهای سازمانی که با جاوا توسعه داده شده‌اند به کار می‌رود که اکنون می‌تواند هدف حملات مخرب قرار گیرد.

 

آسیب‌پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرم‌افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان‌ها مورد استفاده قرار می‌گیرند از این کتاب‌خانه استفاده می‌کنند.

 

آسیب‌پذیری مذکور به حمله‌کننده این امکان را می‌دهد که از طریق ارسال یک  Payload در درخواست‌های HTTP باعث اجرا شدن کدهای مخرب خود در سرویس‌های داخلی که دارای این ضعف امنیتی هستند، شود.

 

این PayLoad می‌تواند در هر کدام از پارامترهای HTTP باشد. مانند:

  • URI
  • User Agent
  • Body
  • Referer

با لاگ شدن هر کدام از این پارامترها که حاوی Payload  مخرب باشند، دسترسی اجرای کد در اختیار حمله‌کننده قرار می‌گیرد.

 

چه کسانی تحت تاثیر قرار می‌گیرند؟

اگر در هر یک از مراحل پردازش درخواست‌های HTTP یکی از پارامترهای Body, User Agent, URL, Referer  را لاگ می‌کنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده می‌کنید، به احتمال بسیار زیاد تحت تاثیر این آسیب‌پذیری قرار می‌گیرید.

 

نمونه یکی از درخواست‌های مخرب لاگ شده

از نظر گستردگی و میزان تخریب، این آسیب‌پذیری جزو موارد بسیار شدید دسته‌بندی می‌شود.

نمونه‌ی یکی از درخواست‌های مخرب که در CDN  آروان لاگ شده است را می‌توانید در تصویر زیر ببینید. در این UA می‌توان Payload  مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).

 

 

اقدامات انجام‌شده برای رفع این مشکل

 

جمعه: رفع آسیب‌پذیری CVE-2021-44228 در سرویس‌های داخلی

بر اساسی گزارشی که شرکتApache  منتشر کرد به کمک روش‌های زیر می‌توان در برابر این آسیب‌پذیری ایمن بود:

  • به‌روزرسانی به نسخه‌ی Log4j 2.15.0
  • اگر از نسخه‌ی Log4J 2.10 و بالاتر استفاده می‌کنید و امکان آپگرید ندارید این مقدار را در تنظیمات وارد کنید:

  • کلاس JndiLookup را از مسیر کلاس‌ها پاک کنید. مثلن می‌توانید از دستور زیر استفاده کنید:

با توجه به اهمیت سرویس‌های لاگ در محصولات ابری آروان، برای پردازش لاگ‌ها در قسمت‌های متعددی از ابزارهای توسعه داده شده توسط آپاچی استفاده می شود:

  • Apache Kafka
  • Elastic Search
  • LogStash
  • Apache Flink

با توجه به دستورالعمل‌های منتشر شده به وسیله‌ی آپاچی، این آسیب‌پذیری‌ها در ساعات اولیه برطرف شدند.

 

تلاش ابر آروان برای حفاظت از کاربران CDN در برابر آسیب‌پذیری  CVE-2021-44228

 

شنبه: قوانین جدید برای مسدودسازی به WAF ابر آروان اضافه شد

برای کاربرانی که از سیستم WAF ابر آروان برای حفاظت در برابر حملات اینترنتی استفاده می‌کردند ۲ قانون جدید به پنل کاربری اضافه شد، که در ادامه قابل مشاهده است:

یک‌شنبه: قانون فایروال برای تمام کاربران  CDNاضافه شد

به دلیل وسیع بودن دامنه‌ی این حمله و این‌که سرویس WAF تنها در اختیار کاربران سازمانی CDN  است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواست‌های مخرب را مسدود کند.

 

برای ایمن ماندن چه کارهایی می‌توان انجام داد؟

اگر کاربر CDN ابر آروان هستید، لازم است برای ایمن ماندن در برابر این آسیب، دستورالعمل‌هایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.

اگر هنوز موفق به این کار نشده‌اید و یا هم‌چنان در بخش‌هایی از سیستم‌های داخلی‌تان این آسیب‌پذیری را مشاهده می‌کنید، پیشنهاد می‌کنیم دامنه‌ی خود را به CDN  آروان انتقال دهید.

link

مطالب مرتبط

خبرها

پادکست اخبار استارتاپی هفته؛ از سواستفاده از نام «فیلیمو» تا سرمایه‌گذاری جدید کیسون

پادکست استارتاپ ۳۶۰ هر هفته جمعه‌ها منتشر می‌شود. این پادکست تازه‌ترین تحولات استارتاپی و تکنولوژی هفته در ایران را دنبال می‌کند. در قسمت ۲۴۷ این پادکست، از
پادکست استارتاپ ۳۶۰ هر هفته جمعه‌ها منتشر می‌شود. این پادکست تازه‌ترین تحولات استارتاپی و تکنولوژی هفته…
خبرها

خدمات پیام‌رسان‌های داخلی به نامزدهای انتخابات تشریح شد

ظرفیت‌ها و امکانات پیام رسان‌های داخلی برای نمایندگان نامزدهای چهاردهمین دوره انتخابات ریاست جمهوری تشریح شد. به گزارش روابط عمومی سازمان فناوری اطلاعات ایران،
ظرفیت‌ها و امکانات پیام رسان‌های داخلی برای نمایندگان نامزدهای چهاردهمین دوره انتخابات ریاست جمهوری تشریح شد.…
رمزارزها و فین‌تکنوبیتکس

توکن‌های رزرو رایتس، اترفای و ادونچر گلد در نوبیتکس لیست شد

سه توکن رزرو رایتس (RSR)، اترفای (ETHFI) و ادونچر گلد (AGLD) در نوبیتکس لیست شد. روابط‌عمومی نوبیتکس گزارش داده این سه رمزارز در دو بازار ریالی و تتری نوبیتکس قابل معامله
سه توکن رزرو رایتس (RSR)، اترفای (ETHFI) و ادونچر گلد (AGLD) در نوبیتکس لیست شد. روابط‌عمومی…
فیلیمو

اطلاعیه فیلیمو در خصوص پلتفرم «فیلیمیوم»؛ فریب‌ نخورید!

فیلیمو با انتشار اطلاعیه‌ای درباره پلتفرمی که تشابه اسمی با آن دارد به کاربران هشدار داده است. متن این اطلاعیه به شرح زیر است: در پی تماس‌ها و سوالات مکرر به اطلاع
فیلیمو با انتشار اطلاعیه‌ای درباره پلتفرمی که تشابه اسمی با آن دارد به کاربران هشدار داده…

دیدگاه‌تان را بنویسید

بخش‌های مورد نیاز علامت‌گذاری شده‌اند *

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.
You need to agree with the terms to proceed

پربازدیدهای هفته

پادکست زوم