مشکل امنیتی Log4j

چند روزی هست که یه مشکل امنیتی در کتابخانه بسیار محبوب Log4j پیدا شده. کتابخونه Log4j که یکی از صدها محصول بنیاد Apache هست، به برنامه نویسان جاوا اجازه میده که گزارش هاشون رو به صورت مجتمع، بدون نیاز به کدنویسی مجزا و با یه قالب واحد داشته باشن. این مشکل امنیتی که اجازه Remote Code Execution رو به حمله کننده میتونه بده دارای بالاترین حد خطر یعنی 10 از 10 هست.

تقریباً هر نرم افزار جاوایی که یه سرویسی رو توی شبکه ارائه میده از این کتابخونه استفاده می کنه تا بتونه برای مدیران شبکه و مدیران سیستم لاگ بگیره. بنابراین اگه از یه سرویس بر اساس جاوا استفاده میکنید، حتماً مستندات تولید کننده نرم افزارتون رو مطالعه کنید تا ببینید تولید کننده چه پیشنهادی داده و در اولین فرصت Patch یا Update ارائه شده برای رفع مشکل رو دریافت و نصب کنید.

تمام شرکت های بزرگ نرم افزاری دنیا از جمله VMware و Adobe و ManageEngine و … با مسئله درگیر هستن و دارن روی راه حلی برای نرم افزارهاشون کار میکنن و مستمراً دارن مانیتور میکنن تا ببینن آیا مشکلی برای کاربرانشون ایجاد شده یا خیر.

غول اینترنتی Cloudflare هم با تمام توانش جلوی حملات ایستاده و سعی میکنه که کابرانش رو در برابر این حفره محافظت کنه.

راه حل خود Apache این هست که به نسخه 2.16 (یا 2.12.2 برای جاوا 7) آپگرید کنید، اما با توجه به اینکه آسیب پدیری مربوط به یه کتابخونه هست که به عنوان بخشی از یه نرم افزار دیگه براتون نصب شده باید صبر کنید تا تولید کننده نرم افزار اون رو براتون آپگرید کنه. اگه از نرم افزاری استفاده می کنید که به دلایلی دیگه آپدیت نمیشه کل کلاس آسیب پذیر رو حذف کنید:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

به طور خاص مثلاً VMware vCenter آسیب پذیر هست و VMware داره روی یه Patch برای رفع مشکل کار میکنه و در حال حاضرش پیشنهادش رو توی این صفحه آورده.

چون حفره مربوط به JNDI یا همون Java Naming and Directory Interface هست، پیشنهاد فعلی Adobe برای محصول Connect این هست که فعلاً LDAP Lookup رو غیرفعال کنید.

شرکت های بزرگ دیگه ای مثل HPE و Dell و … هم دارن محصولاتشون رو بررسی میکنن و همگی صفحاتی از وب سایتشون رو اختصاص دادن که پیشرفت کارِ بررسی رو به کاربرانشون اطلاع میده.
ما هم به نوبه خودمون محصولات مختلف رو رصد میکنیم و به محض ارائه شدن وصله امنیتی اون رو در اختیار همراهان و همکاران عزیز خواهیم گذاشت.

در این بازه زمانی که تولید کننده ها وصله های امنیتی شون رو آماده می کنن، حتی المقدور با محدود کردن دسترسی سرویس های آسیب پذیر و ایجاد امکان اتصال صرفاً برای موارد ضروری؛ Attack Surface مربوط به این سرویس ها رو به حداقل برسونید.

ازتون سپاسگزار میشیم اگر در بخش نظرات سرویس های آسیب پذیر، راه حل ها و تجربیاتتون رو با سایر همکاران به اشتراک بذارید.

پی نوشت 1: شرکت Adobe برای نرم افزار Adobe Connect خودش یه Patch ارائه داده که برای نسخه های 10.1 به بعد قابل استفاده هست و از اینجا می تونید دریافتش کنید.

        

اگه احیاناً مایل هستید بیشتر راجع به این حفره های امنیتی مطالعه کنید، شماره CVE های مربوطه به قرار زیر هست:
CVE-2021-45046
CVE-2021-44228

۳۲ دیدگاه نوشته شده است! می توانید دیدگاه خود را بنویسید

  1. یوسف گفت:

    بسیار عالی و ارزشمند
    ممنونم محمد جان

  2. تایماز گفت:

    عالی، ممنون

  3. محمد گفت:

    سلام،
    تشکر از وقت و اهمیتی که برای کاربران سایتتون می گذارید.

  4. تایماز گفت:

    راه کار های شرکت VMware برای حل این مشکل در لینک زیر است.
    https://www.vmware.com/security/advisories/VMSA-2021-0028.html

    این لینک شامل اسکریپتی برای خودکار سازی حل مشکل برای vCenter 7
    https://kb.vmware.com/s/article/87088

  5. فرشید گفت:

    دوستان لطفا رو فایروال هاتون از فعال بودن IPS و بروز بودن Pattern ها و فعال بودن signature های مربوط به این آسیب پذیری هم مطمئن بشین

  6. محمد کریمی گفت:

    سلام و درود
    به شخصه مرجع اصلیم برای تمام آپدیتها و دانلود نرم افزارها سایت شماس
    ممنون میشم بروز رسانی های محصولات درگیر رو قرار بدین
    و مورد بعدی اینکه دیگه لایسنس برای کریو قرار نمیدین؟

  7. پرهام گفت:

    دوستانی که از مکافی در مجموعه بهره می گیرند از این KB بهره بگیرید :

    https://www.mcafee.com/enterprise/en-us/products/enterprise-security-manager/resources.html

  8. پرهام گفت:

    دوستانی که در مجموعه از سرویس های ManageEngine استفاده می کنند در اسرع وقت به نسخه آخر ارتقا بدهند. به عنوان مثال در Desktop Central نسخه 10.1.2127.20 استفاده از کتابخانه Log4s غیرفعال شده است :

    Log4j is no longer used in Desktop Central.(Build 10.1.2127.20)

    https://www.manageengine.com/products/desktop-central/hotfix-readme.html

  9. پرهام گفت:

    دوستانی که در مجموعه از محصولات سایمانتک استفاده می کنند می تواند از اطلاعات این صفحه بهره بگیرند :

    https://support.broadcom.com/security-advisory/content/security-advisories/Symantec-Security-Advisory-for-Log4j-2-CVE-2021-44228-Vulnerability/SYMSA19793

  10. پرهام گفت:

    از طریق لینک زیر می توانید لیست تمامی محصولات آسیب پذیر و غیر آسیب پذیر در برابر این آسیب پذیری را مشاهده کنید :

    https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

  11. پرهام گفت:

    در مورد رفع این آسیب پذیری بر روی محصول Adobe Connect می توانید از راهنمایی زیر بهره بگیرید :

    https://blogs.connectusers.com/connectsupport/suppress-ldap-lookup-in-log4j-in-adobe-connect/

  12. Jalal گفت:

    Please use the below procedure for ADAudit Plus

    1. Stop the ManageEngine ADAuditPlus service and wait till it stops.
    2. In case the ManageEngine ADAudit Plus DataEngine service does not stop automatically, stop it manually.
    3. Move(cut and paste) the below jar files from ‘\apps\dataengine-xnode\lib’ to any backup location outside the product installation path.

    log4j-api-2.10.0.jar
    log4j-core-2.10.0.jar
    log4j-iostreams-2.10.0.jar
    log4j-slf4j-impl-2.10.0.jar
    (or)
    log4j-api-2.15.0.jar
    log4j-core-2.15.0.jar
    log4j-iostreams-2.15.0.jar
    log4j-slf4j-impl-2.15.0.jar

    4. Download jar files from the below link:
    https://downloads.zohocorp.com/dnd/ADAudit_Plus/ypMFtZHIlQAm30G/log4j-2.16.0.zip
    5. Copy the downloaded jar files to ‘\apps\dataengine-xnode\lib’.
    6. Start the ManageEngine ADAuditPlus service.

    ——————————————————————————————————–

    Please use the below procedure for ADManager Plus:
    Stop ADManager Plus
    Delete the following files after taking backup
    From ADManager Plus\ES\lib folder
    log4j-1.2-api-2.11.1.jar
    log4j-api-2.11.1.jar
    log4j-core-2.11.1.jar
    From ADManager Plus\ES\plugins\search-guard-6
    log4j-slf4j-impl-2.11.1.jar

    Download the zip from the below link and extract the following files
    https://downloads.zohocorp.com/ADManager_Plus/xJLJRv0OQDiTZwA/log4j-2.16.0.zip

    Place following extracted files in ADManager Plus\ES\lib
    log4j-1.2-api-2.16.0.jar
    log4j-api-2.16.0.jar
    log4j-core-2.16.0.jar
    Place following extracted files in ADManager Plus\ES\plugins\search-guard-6
    log4j-slf4j-impl-2.16.0.jar
    Start the ADManager Plus

    Note: The old mitigation measures are discredited and the new version of Log4j jar was released by apache.

  13. یاسر گفت:

    ۱۸ آذر ۱۴۰۰، یک آسیب‌پذیری با درجه اهمیت حیاتی (Critical) که از نوع RCE (اجرای کد از راه دور) می‌باشد در کتابخانه Log4j کشف شد.

    ضعف امنیتی مذکور Log4Shell یا LogJam نامیده می‌شود و دارای شناسه CVE-2021-44228 می‌باشد.

    از آنجایی که Log4j، کتابخانه‌ای منبع‌باز (Open source) و بسیار پرکاربرد است، در بسیاری از برنامه‌ها و نرم‌افزارهای سازمانی از جمله بسترهای ابری، برنامه‌های کاربردی تحت وب و سرویس‌های پست الکترونیک استفاده می‌شود. بنابراین طیف گسترده‌ای از نرم‌افزارها در سطح اینترنت وجود دارند که می‌تواند در معرض خطر سوءاستفاده از آسیب‌پذیری مذکور باشند.

    از طرفی تقریباً هر یک از برنامه‌های تحت وب و اکثر سرورها به نوعی پروسه ورود به سیستم (Logging) را اجرا می‌کنند و همگی از کتابخانه محبوب Log4j که مبتنی بر زبان برنامه‌نویسی Java پیاده‌سازی شده استفاده می‌کنند لذا این آسیب‌پذیری طیف گسترده‌ای از سرویس‌ها و برنامه‌های کاربردی روی سرورها را تحت تأثیر قرار می‌دهد و آن را به شدت خطرناک می‌کند. از این رو اعمال آخرین به‌روزرسانی‌ها برای تمامی برنامه‌های کاربردی و سرورها بسیار ضروری است.

    در همین حال محققان شرکت سوفوس (Sophos, Ltd)، هشدار داده‌اند که صدها هزار تلاش برای اجرای کد از راه دور با استفاده از آسیب‌پذیری Log4Shell تنها در همین روزهای پس از افشای عمومی آن، شناسایی کرده‌اند. آنها اعلام نموده‌اند که مهاجمان در حال حاضر تلاش می‌کنند تا اینترنت را برای نمونه‌های آسیب‌پذیر Log4j پویش کنند.

    در حال حاضر نمونه‌های فعالی از مهاجمانی شناسایی شده که به دنبال سوءاستفاده از آسیب‌پذیری‌ Log4j جهت نصب بدافزار استخراج رمز ارز هستند. گزارش‌هایی نیز از چندین بات‌نت، از جمله Tsunami ،Mirai و Kinsing وجود دارد که تلاش می‌کنند از ضعف امنیتی مذکور سوءاستفاده کنند.

    شرکت سوفوس نیز تحقیقاتی را برای تعیین اینکه آیا راهکارهای امنیتی این شرکت تحت تأثیر آسیب‌پذیری مذکور قرار گرفته‌اند انجام داده است. نتیجه تحقیقات نشان میدهد که امکان Log4j در فایروال های سوفوس بطور کلی استفاده نشده است و بنابراین، فایروال های سوفوس در مقابل این آسیب پذیری مصون هستند. توصیه‌نامه امنیتی سوفوس و جزئیات بیشتر در این خصوص در نشانی زیر قابل دریافت و مطالعه است.

    https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce

    با وجود اینکه خود فایروال های سوفوس در برابر این آسیب پذیری مصون هستند، SophosLabs در راستای حفاظت کامل از سرورهای وب مشتریان خود که ممکن است آسیب پذیر باشند، تعدادی IPS Signature را در محصولات Sophos Endpoint ،Sophos Firewall و Sophos SG UTM پیاده‌سازی کرده که هر گونه ترافیک را که سعی در سوءاستفاده از آسیب‌پذیری مذکور دارد، شناسایی و مسدود می‌کند.

    تیم Sophos Managed Threat Response – به اختصار MTR – شرکت سوفوس نیز، همواره به طور فعال حساب‌های مشتریان MTR را برای فعالیت‌های پسا‌بهره‌جویی زیر نظر دارد.

    همچنین مشتریان Sophos XDR می‌توانند از یک Query به نشانی زیر برای کمک به شناسایی اجزای آسیب‌پذیر Log4j در محیط سازمان خود استفاده کنند.

    https://community.sophos.com/intercept-x-endpoint/i/compliance/identify-vulnerable-log4j-apache-components?cmp=136634

    Query مذکور نشان می‌دهد که آیا Log4j توسط راهبران و مدیران فناوری اطلاعات نصب شده است. در صورت شناسایی کتابخانه مذکور، بایستی فوراً با مراجعه به نشانی‌های زیر به‌روزرسانی های لازم انجام شده و تمامی پروسه‌های ورود به سیستم (Log) به منظور هرگونه نشانه‌ای از سوءاستفاده و آلودگی بررسی شود.

    https://logging.apache.org/log4j/2.x/security.html

    https://logging.apache.org/log4j/2.x/download.html

    سوفوس با توجه به شدت و ماهیت گسترده این آسیب‌پذیری، به مشتریان توصیه می‌کند استفاده از Log4j را در همه برنامه‌ها، سیستم‌ها و سرویس‌ها در سراسر محیط خود بررسی کنند. در این راستا شرکت مذکور توصیه می‌کند که راهبران امنیتی ابتدا بر روی سرویس‌های منتشر شده در اینترنت تمرکز کنند و دستورالعمل‌های به روزرسانی شرکت‌های مختلف را در خصوص این کتابخانه در اولین فرصت اعمال کنند.

  14. مهدی گفت:

    سلام
    برای دوستانی که از PaperCut MF استفاده میکنند
    Stop the PaperCut application server (or Site Server).
    Navigate to the /server/bin/win folder.
    Open the service.conf file in that folder for editing (you will need to open it as Administrator).
    Find the line that looks like this: wrapper.java.additional.21=-Dpc-reserved=X
    Replace it with this: wrapper.java.additional.21=-Dlog4j2.formatMsgNoLookups=true
    Save the file.
    Start the PaperCut application server (or Site Server).

    آدرس:
    https://www.papercut.com/kb/Main/Log4Shell-CVE-2021-44228#application-server-and-site-server-fix

  15. پیمان گفت:

    در آدرس زیر patch مربوط به ادوب کانکت و مستندات ارائه شده است.

    https://blogs.connectusers.com/connectsupport/suppress-ldap-lookup-in-log4j-in-adobe-connect/

  16. علی گفت:

    دوستان سلام
    من از Horizon 7.13 استفاده میکنم . بر اساس اعلام شرکت VMWare باید به 7.13.1 ابدیت کنیم که این مشکل برطرف شده . دوستانی که امکانش رو دارن لطفا لینک دانلود این ورژن را قرار بدن تا بقیه هم استفاده کنند
    تشکر

دیدگاه خود را در پاسخ به پرهام به ما بگویید.