في وقت سابق من هذا الأسبوع، اكتشف مطورو منصة الأمان مفتوحة المصدر LunaSec ثغرة أمنية في zero-day تؤثر على مكتبة تسجيل قائمة على Java مستخدمة على نطاق واسع. الثغرة الأمنية، التي تم تحديدها في منشور مدونة باسم Log4Shell (CVE-2021-44228)، يمكن أن تمنح الأطراف الثالثة القدرة على تنفيذ تعليمات برمجية ضارة على الأنظمة الضعيفة.
يُنسب اكتشاف الثغرة الأمنية إلى الباحثين في LunaSec و Chen Zhaojun من Alibaba Cloud Security. إنها تستفيد من أداة تسجيل الدخول المستندة إلى Apache، log4j، لتسجيل بيانات الخادم بحمولات ضارة تؤدي إلى سلسلة من الإجراءات لحقن حمولة ثانوية. تسمح الحمولة الثانوية بتنفيذ التعليمات البرمجية عن بُعد على النظام المتأثر.
يعتقد الباحثون المسؤولون عن تحديد الثغرة الأمنية، التي تم اكتشافها في البداية على خوادم Minecraft، أن مئات الآلاف من الشركات والأنظمة قد تكون في خطر بسبب الاستخدام الواسع النطاق لخدمة التسجيل المستندة إلى Apache. حدد المحللون بالفعل العديد من الشركات والخدمات الكبيرة على أنها ضعيفة، بما في ذلك Amazon و Apple و Elastic و Steam و Tencent و Twitter. كما أكد Robert Joyce مدير الأمن السيبراني في وكالة الأمن القومي أن GHIDRA، أداة الهندسة العكسية مفتوحة المصدر للوكالة، قد تأثرت أيضًا.
يُنسب اكتشاف الثغرة الأمنية إلى الباحثين في LunaSec و Chen Zhaojun من Alibaba Cloud Security. إنها تستفيد من أداة تسجيل الدخول المستندة إلى Apache، log4j، لتسجيل بيانات الخادم بحمولات ضارة تؤدي إلى سلسلة من الإجراءات لحقن حمولة ثانوية. تسمح الحمولة الثانوية بتنفيذ التعليمات البرمجية عن بُعد على النظام المتأثر.
يعتقد الباحثون المسؤولون عن تحديد الثغرة الأمنية، التي تم اكتشافها في البداية على خوادم Minecraft، أن مئات الآلاف من الشركات والأنظمة قد تكون في خطر بسبب الاستخدام الواسع النطاق لخدمة التسجيل المستندة إلى Apache. حدد المحللون بالفعل العديد من الشركات والخدمات الكبيرة على أنها ضعيفة، بما في ذلك Amazon و Apple و Elastic و Steam و Tencent و Twitter. كما أكد Robert Joyce مدير الأمن السيبراني في وكالة الأمن القومي أن GHIDRA، أداة الهندسة العكسية مفتوحة المصدر للوكالة، قد تأثرت أيضًا.
يلاحظ LunaSec أن أي شخص يستخدم إطار عمل Apache Struts من المحتمل أن يكون عرضة للخطر. تم توسيع التحديث اللاحق على البيان، مشيرًا إلى أن إصدارات JDK الأكبر من 6u211 و 7u201 و 8u191 و 11.01 لا تتأثر بالمتجه المستند إلى LDAP للهجوم. ومع ذلك، لا يعني هذا أن الإصدارات الأحدث محصنة تمامًا، حيث لا يزال من الممكن استخدام موجهات هجوم بديلة للاستفادة من ثغرة Log4Shell لبدء تنفيذ التعليمات البرمجية عن بُعد.
يوفر اكتشاف LunaSec و CVE الناتج للأنظمة المتأثرة خطوات تخفيف مؤقتة ودائمة لضمان عدم تأثير الاستغلال سلبًا على خوادمها وعملياتها. عالجت نسخة محدثة من خدمة log4j، v2.15.0، الاستغلال وتم إتاحتها للتنزيل. تم توفير التخفيف المؤقت أيضًا في CVE للمؤسسات غير القادرة على ترقية خدمة log4j في هذا الوقت.
يوفر اكتشاف LunaSec و CVE الناتج للأنظمة المتأثرة خطوات تخفيف مؤقتة ودائمة لضمان عدم تأثير الاستغلال سلبًا على خوادمها وعملياتها. عالجت نسخة محدثة من خدمة log4j، v2.15.0، الاستغلال وتم إتاحتها للتنزيل. تم توفير التخفيف المؤقت أيضًا في CVE للمؤسسات غير القادرة على ترقية خدمة log4j في هذا الوقت.