شیوه‌ مقابله‌ ابرآروان با آسیب‌پذیری Log4j

در تاریخ ۹ دسامبر ۲۰۲۱ آسیب‌پذیری جدید و مهمی با نام CVE-2021-44228 برای کتابخانه Log4j اعلام و بلافاصله پس از آن، کدهای اکسپلویت متعددی برای بررسی و سوءاستفاده از آن منتشر شد. هنگامی که یک CVE جدید اعلام می‌شود، از منظر شبکه توزیع محتوا (CDN) از دو جهت دارای اهمیت است:

• ایمن‌سازی سرویس‌های داخلی در برابر آسیب‌پذیری؛
• ایمن‌سازی کاربرانی که از CDN برای وب‌سایت و اپلیکیشن خود استفاده می‌کنند.

از این رو در ساعات اولیه اعلام آسیب‌پذیری، ابرآروان به‌دنبال راه‌حلی برای موضوعات بالا بود.

---

آسیب‌پذیری CVE-2021-44228 چیست؟

---

این آسیب‌پذیری در کتابخانه Log4j که یک کتابخانه پردازش لاگ در جاوا به‌شمار می‌آید، یافت شده و به‌دلیل پراستفاده‌بودن آن، به شکل گسترده در نرم‌افزارهای سازمانی که با جاوا توسعه داده شده‌اند، به کار می‌رود که اکنون می‌تواند هدف حملات مخرب قرار گیرد. آسیب‌پذیری CVE-2021-44228 از آن رو اهمیت دارد که نرم‌افزارهای سازمانی شرکت Apache که به شکل گسترده برای پردازش در سازمان‌ها مورد استفاده قرار می‌گیرند، از این کتابخانه استفاده می‌کنند.

آسیب‌پذیری مذکور به حمله‌کننده این امکان را می‌دهد که از طریق ارسال یک Payload در درخواست‌های HTTP باعث اجرا شدن کدهای مخرب خود در سرویس‌های داخلی که دارای این ضعف امنیتی هستند، شود.

این PayLoad می‌تواند در هر کدام از پارامترهای HTTP باشد:

• URI
• User Agent
• Body
• Referer

با لاگ‌شدن هر کدام از این پارامترها که حاوی Payload مخرب باشند، دسترسی اجرای کد در اختیار حمله‌کننده قرار می‌گیرد.

---

چه کسانی تحت تأثیر قرار می‌گیرند؟

---

اگر در هر یک از مراحل پردازش درخواست‌های HTTP یکی از پارامترهای Body, User Agent, URL, Referer  را لاگ می‌کنید یا از یکی از محصولات نوشته‌شده با جاوا مانند محصولات شرکت آپاچی استفاده می‌کنید، به احتمال بسیار زیاد تحت تأثیر این آسیب‌پذیری قرار می‌گیرید.

---

نمونه یکی از درخواست‌های مخرب لاگ‌شده

---

از نظر گستردگی و میزان تخریب، این آسیب‌پذیری جزء موارد بسیار شدید دسته‌بندی می‌شود. در تصویر زیر، می‌توان نمونه یکی از درخواست‌های مخرب را که در CDN  آروان لاگ شده، مشاهده کرد. در این UA می‌توان Payload مخرب را مشاهده کرد (اطلاعات حساس آن مخفی شده است).

---

اقدامات انجام‌شده برای رفع این مشکل

---

جمعه: رفع آسیب‌پذیری CVE-2021-44228 در سرویس‌های داخلی

بر اساسی گزارشی که شرکت Apache  منتشر کرد، به کمک روش‌های زیر می‌توان در برابر این آسیب‌پذیری ایمن بود:

• به‌روزرسانی به نسخه  Log4j 2.15.0
• اگر از نسخه Log4J 2.10 و بالاتر استفاده می‌کنید و امکان آپگرید ندارید، این مقدار را در تنظیمات وارد کنید:

کلاس JndiLookup را از مسیر کلاس‌ها پاک کنید. مثلاً می‌توانید از دستور زیر استفاده کنید:

با توجه به اهمیت سرویس‌های لاگ در محصولات ابرآروان، برای پردازش لاگ‌ها در قسمت‌های متعددی از ابزارهای توسعه داده‌شده توسط آپاچی استفاده می‌شود:

• Apache Kafka
• Elastic Search
• LogStash
• Apache Flink

با توجه به دستورالعمل‌های منتشرشده به وسیله آپاچی، این آسیب‌پذیری‌ها در ساعات اولیه برطرف شدند.

---

تلاش ابرآروان برای حفاظت از کاربران CDN در برابر آسیب‌پذیری  CVE-2021-44228

---

شنبه: قوانین جدید برای مسدودسازی به WAF ابرآروان اضافه شد

برای کاربرانی که از سیستم WAF ابرآروان جهت حفاظت در برابر حملات اینترنتی استفاده می‌کردند، دو قانون جدید به پنل کاربری اضافه شد که در ادامه قابل مشاهده است:

یکشنبه: قانون فایروال برای تمام کاربران CDN اضافه شد

به‌دلیل وسیع‌بودن دامنه این حمله و اینکه سرویس WAF تنها در اختیار کاربران سازمان CDN است، ما برای تمام کاربران شبکه توزیع محتوا، قانونی را به فایروال اضافه کردیم تا این درخواست‌های مخرب را مسدود کند.

اگر کاربر CDN ابرآروان هستید، لازم است برای ایمن‌ماندن در برابر این آسیب، دستورالعمل‌هایی را که در این مقاله به آن اشاره کردیم، به کار بگیرید. اگر هنوز موفق به این کار نشده‌اید یا همچنان در بخش‌هایی از سیستم‌های داخلی‌تان این آسیب‌پذیری را مشاهده می‌کنید، پیشنهاد می‌کنیم دامنه خود را به CDN آروان انتقال دهید.