اخیراً یک آسیبپذیری روزصفرم بحرانی در کتابخانه Log4j مربوط بهApache یافت شده است و از آنجایی که این کتابخانه کاربرد بسیاری دارد، آسیبپذیری مذکور بخش بزرگی از اینترنت را تحت تاثیر خود قرار میدهد. در واقع با توجه به اینکه این کتابخانه با زبان جاوا پیادهسازی شده است، تقریباً هر سروری که از زبان جاوا استفاده میکند (نسخههای پیش از 2.14.1 کتابخانه Log4j و نسخههای جاوای پیش از 6u212، 7u202، 8u192 و 11.0.2)، نسبت به این آسیبپذیری آسیبپذیر است. در برخی موارد برنامه بهطور مستقیم از کتابخانه Log4j2 استفاده نمیکند اما ممکن است برخی زیرساختهای آن اعم از سرور برنامه، سرور پایگاه داده یا دستگاه های شبکه از این کتابخانه استفاده کنند که کاربر را در معرض خطر این آسیبپذیری قرار میدهد؛ لذا به کاربران توصیه میشود هرچه سریعتر نسبت به بهروزرسانی سرورهای آسیبپذیر اقدام کنند. (بهروزرسانی به نسخه rc2- 2.15.0 و جاوا نسخه 8u121)
این آسیبپذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی 10 از 10 است. این آسیبپذیری از راه دور و بدون احرازهویت قابل بهرهبرداری است و مهاجم با بهرهبرداری موفق از این آسیبپذیری قادر است کد دلخواه خود را در سرورهای آسیبپذیر اجرا نماید. آسیبپذیری CVE-2021-44228 در حال حاضر تحت بهرهبرداری فعال قرار داشته و اکسپلویت آن در لینک زیر موجود است:
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
جهت کاهش مخاطرات این آسیبپذیری به طور موقت، راهکارهای زیر پیشنهاد میشود:
- تنظیم مقدار true برای ویژگی log4j2.formatMsgNoLookups
- حذف کلاس JndiLookup از مسیر کلاسها
منابع:
www.cloudsavvyit.com/15042/critical-rce-zero-day-exploit-found-in-popular-java-logging-library-log4j-affects-much-of-the-internet/
https://access.redhat.com/security/cve/cve-2021-44228
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html?source=:em:eo:ie:cpo:::RC_WWMK210714P00017:SEV400208211
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
https://www.veracode.com/blog/security-news/urgent-analysis-and-remediation-guidance-log4j-zero-day-rce-cve-2021-44228
https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/
- 347