آسیب‌پذیری‌های Log4j اینجا هستند - آیا آماده‌اید؟

آسیب پذیری گسترده ای که برای اولین بار در Apache Log4j در سال 2021 ظاهر شد همچنان مورد بهره برداری قرار خواهد گرفت، به طور بالقوه حتی به روش هایی بدتر از آنچه تا به امروز دیده ایم. جنبه نگران‌کننده‌تر این تهدیدها این است که این احتمال وجود دارد که ماه‌ها یا سال‌ها در آینده مورد بهره‌برداری قرار گیرند.

هیئت بررسی ایمنی سایبری وزارت امنیت داخلی در سال 2021 آغاز به کار کرد و در سال 2022 آن را منتشر کرد. گزارش ایمنی افتتاحیه (PDF). در آن، هیئت مدیره Log4j را یک «آسیب‌پذیری بومی» نامید، عمدتاً به این دلیل که «فهرست مشتریان» جامعی برای Log4j وجود ندارد و حفظ آسیب‌پذیری‌ها را یک کار تقریباً غیرممکن می‌سازد. یک بخش کابینه فدرال حتی 33,000 ساعت را برای پاسخ Log4j خود صرف کرد.

بسیاری از سازمان‌ها و راه‌حل‌های امنیتی موجود در بازار قادر به شناسایی تفاوت بین قابلیت بهره‌برداری و آسیب‌پذیری نیستند و فرصتی را برای مهاجمان ایجاد می‌کند تا فعالیت‌های مخرب را انجام دهند.

بهره برداری در مقابل آسیب پذیری

امروزه یکی از مسائل کلیدی امنیت سایبری، درک تفاوت بین آسیب‌پذیری‌ها و شدت آن‌ها است. وقتی نوبت به اندازه‌گیری قابلیت بهره‌برداری در مقابل آسیب‌پذیری می‌رسد، تفاوت زیادی بین اینکه آیا یک تهدید امنیتی در کسب و کار شما قابل بهره‌برداری است یا اینکه فقط «آسیب‌پذیر» است و نمی‌تواند مانع کسب‌وکار شود یا به یک دارایی حیاتی برسد، وجود دارد. تیم‌های امنیتی زمان زیادی را صرف درک تفاوت بین این دو نمی‌کنند و هر آسیب‌پذیری را به‌جای اولویت‌بندی آسیب‌پذیری‌هایی که قابل بهره‌برداری هستند، برطرف می‌کنند.

هر شرکتی هزاران آسیب‌پذیری و مواجهه مشترک (CVE) دارد که بسیاری از آنها در سیستم امتیازدهی رایج آسیب‌پذیری (CVSS) امتیاز بالایی کسب می‌کنند، بنابراین رفع همه آنها غیرممکن است. برای مبارزه با این، امید این است که ابزارهای مدیریت آسیب‌پذیری مبتنی بر ریسک (RBVM) با روشن کردن موارد قابل بهره برداری، اولویت بندی را آسان تر کنید.

با این حال، رویکردهای اولویت‌بندی امنیتی که امتیازات CVSS را با اطلاعات تهدید RBVM ترکیب می‌کنند، نتایج مطلوبی را ارائه نمی‌دهند. حتی پس از فیلتر کردن و نگاه کردن به مواردی که در طبیعت قابل بهره برداری است، تیم های امنیتی هنوز کارهای زیادی برای رسیدگی دارند زیرا لیست طولانی و غیرقابل مدیریت است. و فقط به این دلیل که یک CVE امروز یک اکسپلویت ندارد، به این معنی نیست که هفته آینده آن را نخواهد داشت.

در پاسخ، شرکت‌ها هوش مصنوعی ریسک پیش‌بینی‌کننده را اضافه کرده‌اند که می‌تواند به کاربران کمک کند تا درک کنند که آیا CVE ممکن است در آینده مورد سوء استفاده قرار گیرد یا خیر. این هنوز کافی نیست و منجر به مشکلات زیادی برای رفع می شود. هزاران آسیب‌پذیری همچنان نشان می‌دهند که دارای یک اکسپلویت هستند، اما بسیاری از آنها مجموعه‌های دیگری از شرایط را خواهند داشت که برای بهره‌برداری واقعی از مشکل باید برآورده شوند.

به عنوان مثال، با Log4j، پارامترهای زیر باید شناسایی شوند:

• آیا کتابخانه آسیب پذیر Log4j وجود دارد؟
• آیا توسط یک برنامه جاوا در حال اجرا بارگذاری می شود؟
• آیا جستجوی JNDI فعال است؟
• آیا جاوا به اتصالات از راه دور گوش می دهد و آیا اتصالی برای ماشین های دیگر وجود دارد؟

اگر شرایط و پارامترها برآورده نشدند، آسیب پذیری حیاتی نیست و نباید اولویت بندی شود. و حتی اگر یک آسیب پذیری می تواند روی یک ماشین قابل سوء استفاده باشد، پس چه؟ آیا آن ماشین بسیار حیاتی است، یا شاید به هیچ دارایی حساس یا مهمی متصل نیست؟

همچنین ممکن است دستگاه مهم نباشد اما بتواند مهاجم را قادر سازد تا به سمت دارایی های حیاتی به روش های مخفیانه تر ادامه دهد. به عبارت دیگر، زمینه کلیدی است - آیا این آسیب‌پذیری در مسیر حمله احتمالی به دارایی حیاتی است؟ آیا برای جلوگیری از رسیدن مسیر حمله به یک دارایی حیاتی، قطع کردن یک آسیب‌پذیری در یک نقطه خفه (تقاطع مسیرهای حمله متعدد) کافی است؟

تیم‌های امنیتی از فرآیندهای آسیب‌پذیری و راه‌حل‌های آن متنفرند، زیرا آسیب‌پذیری‌های روزافزونی وجود دارد – هیچ‌کس نمی‌تواند به‌طور کامل صفحه را پاک کند. اما اگر بتوانند تمرکز بر آنچه می تواند ایجاد کند خسارت به یک دارایی حیاتی، آنها می توانند درک بهتری از کجا شروع کنند.

مبارزه با آسیب پذیری های Log4j

خبر خوب این است که مدیریت صحیح آسیب‌پذیری می‌تواند به کاهش و رفع قرار گرفتن در معرض حملات Log4j محور با شناسایی مکان‌هایی که خطر سوءاستفاده بالقوه وجود دارد، کمک کند.

مدیریت آسیب پذیری یکی از جنبه های مهم امنیت سایبری است و برای تضمین امنیت و یکپارچگی سیستم ها و داده ها ضروری است. با این حال، این یک فرآیند کامل نیست و با وجود بهترین تلاش‌ها برای شناسایی و کاهش آن‌ها، آسیب‌پذیری‌ها همچنان در سیستم‌ها وجود دارند. مهم است که به طور منظم فرآیندها و استراتژی های مدیریت آسیب پذیری را بررسی و به روز کنید تا مطمئن شوید که آنها موثر هستند و آسیب پذیری ها به موقع برطرف می شوند.

تمرکز مدیریت آسیب‌پذیری نه تنها باید بر روی خود آسیب‌پذیری‌ها باشد، بلکه باید روی خطر بالقوه بهره‌برداری نیز متمرکز شود. شناسایی نقاطی که مهاجم ممکن است به شبکه دسترسی پیدا کرده باشد و همچنین مسیرهایی که ممکن است برای به خطر انداختن دارایی های حیاتی طی کند، مهم است. کارآمدترین و مقرون به صرفه ترین راه برای کاهش خطرات یک آسیب پذیری خاص، شناسایی ارتباطات بین آسیب پذیری ها، پیکربندی های نادرست و رفتار کاربر است که می تواند توسط یک مهاجم مورد سوء استفاده قرار گیرد، و به طور فعالانه به این مسائل قبل از سوء استفاده از آسیب پذیری رسیدگی شود. این می تواند به اختلال در حمله و جلوگیری از آسیب به سیستم کمک کند.

همچنین باید موارد زیر را انجام دهید:

• پچ: تمام محصولات خود را که در برابر Log4j آسیب پذیر هستند شناسایی کنید. این کار را می توان به صورت دستی یا با استفاده از اسکنرهای منبع باز انجام داد. اگر پچ مربوطه برای یکی از محصولات آسیب پذیر شما منتشر شد، سیستم را در اسرع وقت وصله کنید.
• راه حل: در نسخه های Log4j 2.10.0 و بالاتر، در خط Java CMD، موارد زیر را تنظیم کنید: log4j2.formatMsgNoLookups=true
• مسدود کردن: در صورت امکان، یک قاعده به فایروال برنامه وب خود اضافه کنید تا "jndi:" را مسدود کند.

امنیت کامل یک شاهکار دست نیافتنی است، بنابراین معنایی ندارد که دشمن خوبی را کامل کنیم. در عوض، روی اولویت‌بندی و قفل کردن مسیرهای حمله احتمالی تمرکز کنید که به طور مداوم وضعیت امنیتی را بهبود می‌بخشد. شناسایی و واقع بینانه بودن در مورد آنچه واقعاً آسیب پذیر است در مقابل آنچه قابل بهره برداری است می تواند به انجام این کار کمک کند، زیرا امکان هدایت استراتژیک منابع به سمت مناطق حیاتی که بیشترین اهمیت را دارند را فراهم می کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-