شدة الضعف في Log4j ليست سوى نظرية. مجرمو الإنترنت scan الموانئ في جميع أنحاء العالم لإيجاد طرق لاستغلالها. لاحظ باحثو الأمن وقوع مئات الآلاف من الهجمات.
في الأيام القليلة الماضية ، تعرفت Check Point Software على 470,000 محاولة scan شبكات الشركات في جميع أنحاء العالم. ال scanيتم تنفيذ s ، من بين أمور أخرى ، للعثور على الخوادم التي تسمح بطلبات HTTP الخارجية. هذه الخوادم عرضة لاستغلال الثغرة الأمنية سيئة السمعة في مكتبة Java Log4j. إذا كان الخادم يسمح بطلبات HTTP ، فيمكن للمهاجم اختبار اتصال الخادم بسطر واحد يشير إلى خادم بعيد مع تعليمات Java لتنفيذ البرامج الضارة. إذا كان الخادم الذي تم اختباره متصلاً بتطبيق Java يقوم بمعالجة Log4j ، فإن تطبيق Java يعالج السطر كأمر لتنفيذ البرامج الضارة. في الجزء السفلي من الخط ، ينفذ خادم الضحية ما يأمره المهاجم. وتقول منظمة الأمن سوفوس إنها حددت مئات الآلاف من الهجمات.
وجوه مألوفة
في وقت سابق كتبنا مقالًا مفيدًا حول العملية الفنية المذكورة أعلاه للثغرة الأمنية في Log4j. أكبر شرط مسبق لإساءة الاستخدام هو القدرة على الوصول إلى تطبيقات Java التي تتضمن Log4j. في بعض الحالات تكون هذه لعبة أطفال. على سبيل المثال ، استخدمت Apple iCloud Log4j لتسجيل أسماء أجهزة iPhone. من خلال تغيير اسم طراز iPhone في iOS إلى تعليمات Java ، اتضح أنه من الممكن كسر خوادم Apple.
في حالات أخرى ، يكون التأثير على التطبيقات أقل سهولة. يأتي التهديد الأكبر من المهاجمين ذوي الخبرة والمعرفة والتقنيات الحالية. قام باحثو الأمن من Netlab360 بإعداد نظامين للخداع (مواضع الجذب ، محرر) للدعوة إلى شن هجمات على تطبيقات Java باستخدام Log4j. وهكذا استقطب الباحثون تسعة أنواع جديدة من أنواع البرمجيات الخبيثة المعروفة ، بما في ذلك MIRAI و Muhstik. تم تصميم سلالات البرامج الضارة لإساءة استخدام Log4j. الهدف الشائع للهجوم هو تعزيز شبكات الروبوت لتعدين العملات المشفرة وهجمات DDoS. أجرت Check Point Software مسحًا مشابهًا على نطاق أوسع. وسجل الجهاز الأمني في الأيام الماضية 846,000 ألف هجوم.
الدفاع
من الواضح أن مجرمي الإنترنت يبحثون عن الإصدارات الضعيفة من Log4j ويستغلونها. الدفاع الأكثر استحسانًا هو جرد جميع تطبيقات Log4j في بيئة ما ويبقى كذلك. إذا أصدر مورد التطبيق الذي يتم استخدام Log4j فيه إصدارًا محدثًا ، فيوصى بالتصحيح. إذا لم يكن الأمر كذلك ، فإن التعطيل هو الخيار الأكثر أمانًا. يحتفظ NCSC بنظرة عامة حول نقاط الضعف في البرنامج الذي تتم فيه معالجة Log4j.
من المستحسن حاليًا تطوير مقاييس البرامج الخاصة بك أو تعديل تشغيل Log4j. الثغرة لديها اختلافات. اكتشفت Microsoft ، من بين آخرين ، متغيرات متعددة للقاعدة المستخدمة لتوجيه تطبيقات Java لتشغيل البرامج الضارة. تتحدث Check Point عن أكثر من 60 طفرة.