CVE-2021-44228: Apache Log4J RCE

نظرة عامة

ستناقش هذه المقالة المعلومات المتعلقة بثغرة تنفيذ التعليمات البرمجية عن بُعد في Log4j، والخطوات التي اتخذتها Cato لضمان حماية عملائنا.

تتعلق هذه المقالة بـ CVE-2021-44228 والذي تم تخصيص درجة CVSS الأساسية لها 10.0 (حرج)

يقوم Cato حاليًا بتقييم تأثير هذه الثغرة على قاعدة عملائنا، وسيتم تحديث هذه المقالة مع تطور الوضع. 

الخلفية والتأثير

تم العثور على خلل في مكتبة Java للتسجيل Apache Log4j 2 في الإصدارات من 2.0-beta9 إلى 2.14.1. قد يسمح هذا لمهاجم عن بُعد بتنفيذ التعليمات البرمجية على الخادم إذا قام النظام بتسجيل قيمة سلسلة يتحكم فيها المهاجم باستخدام خادم JNDI LDAP الخاص بالمهاجم.

سيمكن هذا الاستغلال المهاجمين من تنفيذ تعليمات برمجية ضارة على تطبيقات Java، وبالتالي يشكل خطرًا كبيرًا نظرًا لانتشار Log4j عبر مجموعة البرمجيات العالمية. 

البيئة

يبدو أن هذه المشكلة تؤثر فقط على إصدارات log4j بين 2.0 و 2.14.1. لاستغلال هذا الخلل تحتاج إلى:

  • نقطة نهاية يمكن الوصول إليها عن بُعد بأي بروتوكول (HTTP، TCP، إلخ) تسمح للمهاجم بإرسال بيانات عشوائية،
  • بيان تسجيل في نقطة النهاية يسجل البيانات التي يتحكم فيها المهاجم.

نظرًا لوجود JMS Appender الذي يمكنه استخدام JNDI في log4j 1.x، فمن الممكن أن يكون log4j الإصدار 1.x متأثرًا أيضًا بهذه الثغرة. لا يزال التأثير قيد التحقيق من قبل الباحثين الأمنيين. 

ماذا يفعل Cato؟

يعمل محللو الأمن في Cato Networks بلا كلل لتحديد وتحديد وتخفيف أي ثغرات أو تعرضات محتملة قد يواجهها عملاؤنا بسبب هذا التهديد. 

  • 9 ديسمبر 2021: أصبح المجتمع الأمني على دراية بمحاولات الاستغلال النشطة في برنامج Apache Log4j.
  • 10 ديسمبر 2021: حددت Cato Networks توقيع حركة المرور المرتبطة بهذا الاستغلال وبدأت بمراقبة عملائنا بشكل نشط.
  • 11 ديسمبر 2021: قمنا بتنفيذ قاعدة حظر عالمية ضمن IPS لدينا لجميع عملاء Cato للتخفيف من هذه الثغرة.

لا يُعتقد أن بنية Cato السحابية معرضة لهذا الاستغلال في الوقت الحالي. 

ماذا أحتاج أن أفعل؟

  • إذا كان لديك IPS الخاص بـ Cato ممكّنًا، سنقوم بحظر توقيع حركة المرور لهذه الثغرة بشكل نشط تلقائيًا. لا يتطلب ذلك تصحيحات أو تحديثات لمنصة Cato.
  • لا يستخدم عميل Cato SDP، وCato Sockets، وCato vSockets برنامج Apache Log4j.
  • يوصى بأن يتبع أي عميل يستخدم منتجات Apache استشارات البائع المستمرة.

سيتم إنشاء أحداث IPS ضمن تطبيق إدارة Cato تشير إلى إجراءات الحظر لهذا CVE. على سبيل المثال:

mceclip0.png

تتطور هذه الحالة حاليًا في مشهد تكنولوجيا المعلومات، وتقوم Cato Networks بمراقبة الوضع والتحقيق فيه بنشاط لضمان بقاء عملائنا محميين.

هل كان هذا المقال مفيداً؟

10 من 10 وجدوا هذا مفيداً

لا توجد تعليقات