شیوه مقابله ابر آروان با صدمه پذیری Log۴j
به گزارش رصد کالا اگر کاربر CDN ابر آروان هستید، برای ایمن ماندن در مقابل این آسیب، دستورالعمل هایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
به گزارش رصد کالا به نقل از مهر، در تاریخ ۹ دسامبر ۲۰۲۱ صدمه پذیری جدید و مهمی با نام CVE-۲۰۲۱-۴۴۲۲۸ برای کتاب خانه Log۴j اعلام و بلافاصله بعد از آن، کدهای اکسپلوییت گوناگونی جهت بررسی و سوءاستفاده از آن منتشر گردید.
هنگامی که یک CVE جدید اعلام می شود از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است.
ایمن سازی سرویسهای داخلی دربرابر صدمه پذیری
ایمن سازی کاربرانی که از CDN برای وبسایت و اپلیکیشن خود استفاده می نمایند
از این رو در ساعات اولیه ی اعلام این صدمه پذیری در ابر آروان به دنبال چاره ای برای موضوعات بالا بودیم.
آسیب پذیری CVE-۲۰۲۱-۴۴۲۲۸ چیست؟
این صدمه پذیری در کتابخانه Log۴j که یک کتابخانه پردازش لاگ در جاوا به شمار می آید، یافت شده و به علت پر استفاده بودن آن، به شکل گسترده در نرم افزارهای سازمانی که با جاوا توسعه داده شده اند به کار می رود که حالا می تواند هدف حملات مخرب قرار گیرد.
آسیب پذیری CVE-۲۰۲۱-۴۴۲۲۸ از آن رو اهمیت دارد که نرم افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان ها مورد استفاده قرار می گیرند از این کتاب خانه استفاده می نمایند. صدمه پذیری مذکور به حمله کننده این امکان را می دهد که از راه ارسال یک Payload در درخواست های HTTP سبب اجرا شدن کدهای مخرب خود در سرویسهای داخلی که دارای این ضعف امنیتی هستند، شود.
این PayLoad می تواند در هر کدام از پارامترهای HTTP باشد. مانند:
URI
User Agent
Body
Referer
با لاگ شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حمله کننده قرار می گیرد.
چه کسانی تحت تاثیر قرار می گیرند؟
اگر در هر یک از مراحل پردازش درخواست های HTTP یکی از پارامترهای Body، User Agent، URL، Referer را لاگ می کنید و یا از یکی از محصولات نوشته شده با جاوا مانند محصولات شرکت آپاچی استفاده می کنید، به احتمال بسیار زیاد تحت تاثیر این صدمه پذیری قرار می گیرید.
نمونه یکی از درخواست های مخرب لاگ شده
از نظر گستردگی و میزان تخریب، این صدمه پذیری جزو موارد بسیار شدید دسته بندی می شود.
نمونه ی یکی از درخواست های مخرب که در CDN آروان لاگ شده است را می توانید در تصویر زیر ببینید. در این UA میتوان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).
اقدامات انجام شده برای رفع این مشکل
جمعه: رفع صدمه پذیری CVE-۲۰۲۱-۴۴۲۲۸ در سرویسهای داخلی
بر اساسی گزارشی که شرکتApache منتشر نمود به کمک روش های زیر میتوان در مقابل این صدمه پذیری ایمن بود:
به روزرسانی به نسخه ی Log۴j ۲.۱۵.۰
اگر از نسخه ی Log۴J ۲.۱۰ و بالاتر استفاده می کنید و امکان آپگرید ندارید این مقدار را در تنظیمات وارد کنید:
کلاس JndiLookup را از مسیر کلاس ها پاک کنید. مثلن می توانید از دستور زیر استفاده کنید:
با توجه به اهمیت سرویسهای لاگ در محصولات ابری آروان، برای پردازش لاگ ها در قسمت های گوناگونی از ابزارهای توسعه داده شده توسط آپاچی استفاده می شود:
Apache Kafka
Elastic Search
LogStash
Apache Flink
…
با توجه به دستورالعمل های انتشار یافته به وسیله ی آپاچی، این صدمه پذیری ها در ساعات اولیه برطرف شدند.
تلاش ابر آروان برای حفاظت از کاربران CDN در مقابل صدمه پذیری CVE-۲۰۲۱-۴۴۲۲۸
شنبه: قوانین جدید برای مسدودسازی به WAF ابر آروان اضافه شد
برای کاربرانی که از سیستم WAF ابر آروان برای حفاظت در مقابل حملات اینترنتی استفاده می کردند ۲ قانون جدید به پنل کاربری افزوده شد، که در ادامه قابل مشاهده است:
یک شنبه: قانون فایروال برای تمام کاربران CDN اضافه شد
به دلیل وسیع بودن دامنه ی این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمانی CDN است، ما برای تمام کاربران شبکه توزیع محتوا قانونی را به فایروال اضافه کردیم تا این درخواست های مخرب را مسدود کند.
برای ایمن ماندن چه کارهایی میتوان انجام داد؟
اگر کاربر CDN ابر آروان هستید، لازم است برای ایمن ماندن در مقابل این آسیب، دستورالعمل هایی که در این مقاله به آن اشاره کردیم را به کار بگیرید.
اگر هنوز موفق به این کار نشده اید و یا هم چنان در بخش هایی از سیستم های داخلی تان این صدمه پذیری را مشاهده می کنید، پیشنهاد می نماییم دامنه ی خویش را به CDN آروان انتقال دهید.
این مطلب، یک خبر آگهی بوده و خبرگزاری مهر در محتوای آن هیچ نظری ندارد.
منبع: rasadkala.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب