نقص Log4j: چرا یک دهه بعد همچنان مشکلاتی را ایجاد می کند


علیرغم تلاش های هماهنگ شده برای جمع آوری سازمان ها برای رفع نقص اصلی نرم افزار منبع باز، مقامات امنیت سایبری حداقل برای یک دهه پایانی برای مشکلات Log4Shell نمی بینند.

این نتیجه گیری هیئت بررسی ایمنی سایبری (CSRB) است در فوریه تاسیس شد بر اساس فرمان اجرایی امنیت سایبری جو بایدن، رئیس جمهور ایالات متحده، که خواستار واکنش ملی به حوادث مهم امنیت سایبری بود. اولین وظیفه این گروه بررسی عیوب Log4Shell در کتابخانه Log4j Java App Logging بود. گزارش و پیشنهادات هیئت مدیره می باشد اکنون از طریق آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی (CISA).

CISA یک هفته پس از افشای نقص اجرای کد از راه دور در 9 دسامبر 2021، به سرعت به همه آژانس‌های فدرال دستور داد تا Log4J را با بهترین توانایی‌های خود وصله کنند. بنیاد نرم افزار آپاچی (ASF)، در محصولات VMware، IBM، Oracle، Cisco، SolarWinds و دیگران پیاده سازی شد.

Log4Shell در صدها میلیون دستگاه سازمانی که در معرض اینترنت قرار داشتند وجود داشت. با این حال، علی‌رغم یا به دلیل تلاش‌های گسترده به رهبری ایالات متحده، یک ماه پس از فاش شدن این نقص، CISA هیچ نفوذ قابل توجهی را مشاهده نکرده بود.

در آن زمان، CISA هشدار داد که ممکن است ماه‌ها طول بکشد تا مهاجمان به آن حمله کنند و کمیسیون تجارت فدرال اعلام کند ممکن است سازمان‌های آمریکایی را به دلیل عدم اقدام مجازات کند.

بر اساس CSRB، Log4Shell اکنون “بومی” است و انتظار می رود حداقل تا سال 2032 روی سیستم ها تأثیر بگذارد.

مهم‌تر از همه، رویداد Log4j به پایان نرسیده است. هیئت مدیره ارزیابی می‌کند که Log4j یک «آسیب‌پذیری بومی» است و نمونه‌های آسیب‌پذیر Log4j برای سال‌های آینده، شاید یک دهه یا بیشتر، در سیستم‌ها باقی خواهند ماند. ” هیئت می نویسد.

این با هشدار دائمی مایکروسافت مبنی بر اینکه تهدید Log4Shell برای مشتریان Azure خود همچنان بالاست همسو است. مایکروسافت در ماه دسامبر تنها مشاهده کرده بود که از آن برای استقرار بدافزار استخراج رمزنگاری استفاده می‌شود، اما هشدار داد که هکرهای تحت حمایت دولت در حال بررسی سیستم‌ها برای آن هستند.

CSRB جزئیات ویرانی هایی را که باعث شد محققان، مدیران، مهندسان نرم افزار و نگهبانان منبع باز که قرار بود پس از نزدیک به دو سال تقویت فناوری WFH در طول همه گیری، به تعطیلات کریسمس بروند، توضیح می دهد.

“مدافعان با یک وضعیت چالش برانگیز مواجه شدند؛ آسیب پذیری تقریباً بر هر سازمان شبکه ای تأثیر گذاشت و شدت تهدید مستلزم اقدام سریع بود. این واقعیت که هیچ “لیست مشتری” جامعی برای Log4j وجود ندارد، یا حتی لیستی از مکان هایی که به عنوان یک ادغام شده است وجود ندارد. رابرت سیلورز و هدر ادکینز، نویسندگان CSRB می نویسند: زیر سیستم، مانع از پیشرفت مدافع شد.

در این گزارش آمده است که شرکت‌ها و فروشندگان برای کشف محل استفاده از Log4j تلاش کردند و «سرعت، فشار و تبلیغات» چالش‌های دفاعی را تشدید کرد زیرا محققان امنیتی به سرعت آسیب‌پذیری‌های بیشتری را در Log4j پیدا کردند که به سردرگمی و «خستگی وصله‌ای» کمک می‌کرد. در این بیانیه آمده است که مدافعان تلاش کردند تا اسکن آسیب پذیری توسط محققان با حسن نیت را از عوامل تهدید تشخیص دهند. و پاسخ دهندگان یافتن منابع معتبر اطلاعاتی در مورد چگونگی رسیدگی به این مسائل را مشکل یافتند.

در این بیانیه آمده است: «این به یکی از فشرده‌ترین واکنش‌های جامعه امنیت سایبری در تاریخ ختم شد.

“پاسخ دهندگان، بخش های عمومی و خصوصی، جامعه منبع باز و محققان در سطح جهانی، به شیوه ای اختصاصی با یکدیگر همکاری و ارتباط داشتند و در تعطیلات آخر هفته و تعطیلات دسامبر کار می کردند.”

CSRB با تشریح عظمت کار در دست، خاطرنشان می کند که یک آژانس فدرال 33000 ساعت را صرف اصلاح نوردهی های Log4j در شبکه کرده است. این امر باعث ایجاد یک انباشته کار روی آسیب‌پذیری‌های حیاتی دیگر شد، که در آن مرحله توسط CISA به عنوان اجباری برای سازمان‌های فدرال برای اصلاح از طریق کاتالوگ آسیب‌پذیری‌های مورد سوء استفاده شناخته شده آن علامت‌گذاری می‌شد.

با این حال، هیئت مدیره “تا حدودی شگفت انگیز” اذعان کرد که “تا به امروز، به طور کلی، بهره برداری از Log4j در سطوح پایین تر از آنچه بسیاری از کارشناسان پیش بینی می کردند، با توجه به شدت آسیب پذیری رخ داده است”.

نویسندگان ادامه می‌دهند: «دستیابی به این نتیجه‌گیری دشوار بوده است. “در حالی که فروشندگان امنیت سایبری قادر به ارائه برخی شواهد حکایتی از بهره برداری بودند، هیچ منبع معتبری برای درک روندهای بهره برداری در مناطق جغرافیایی، صنایع یا اکوسیستم ها وجود ندارد. بسیاری از سازمان ها حتی اطلاعات مربوط به بهره برداری خاص Log4j را جمع آوری نمی کنند، و گزارش هنوز تا حد زیادی داوطلبانه است.”

فهرست توصیه‌های CSRB شامل بسیاری از فعالیت‌هایی است که دولت ایالات متحده و شرکت‌های بزرگ فناوری در حال حاضر برای بهبود امنیت نرم‌افزارهای منبع باز انجام می‌دهند. تلاش‌های Google شامل بهبود امنیت بسته‌ها برای زبان‌های برنامه‌نویسی، پشتیبانی از پروژه‌های متن‌باز حیاتی با بودجه بیشتر، مدیریت بسته‌های منبع باز، فشار دادن چارچوب زنجیره تامین Levels for Software Artifacts یا SLSA، و دادن کلیدهای امنیتی دو مرحله‌ای به توسعه‌دهندگان پایتون است. این سرمایه گذاری ها در زمانی انجام می شود که 41 درصد از سازمان ها در مورد امنیت نرم افزار منبع باز خود تردید دارند.

طبق بررسی هیئت مدیره، سازمان‌ها باید برای رسیدگی به Log4J در درازمدت آماده شوند، در حالی که تنظیم‌کننده‌های ایالتی و فدرال باید توصیه‌های کاهش CISA را اعمال کنند. سازمان‌ها همچنین باید برنامه‌های پاسخگویی و افشای آسیب‌پذیری مستند داشته باشند.

فروشندگان نرم افزار منبع باز به آژانس های فدرال نیز باید مبنایی برای شفافیت داشته باشند. و ایالات متحده باید در ساختارهای تشویقی مورد نیاز برای ایجاد نرم افزار امن سرمایه گذاری کند.

تمرکز بر Log4Shell ممکن است راه خوبی برای تحریک آژانس‌ها و کسب‌وکارهای ایالات متحده در زمینه امنیت توسعه نرم‌افزار باشد، اما دن لورنک، مدیر عامل Chainguard و رهبر تلاش‌های امضای کد منبع باز Sigstore، گفت که این کار انجام خواهد شد. هنگامی که نقص هایی مانند Log4J به دلیل روشی که فناوری توسط مشتریان پیاده سازی می شود، آسیب پذیر هستند، سخت است. یعنی زمانی که ادمین ها اصل حداقل امتیاز را برای دستگاه ها اعمال نمی کنند.

“با Log4j، جلوگیری از کل دسته از اشکالاتی که باعث ایجاد آن می شوند، با فناوری امروزی دشوار خواهد بود، اما مواردی مانند fuzzing و طراحی ایمن زبان/کتابخانه به صورت پیش فرض می تواند کمک زیادی کند. اما بهره برداری کامل همچنان نیازمند کتابخانه است. در محیطی با مجوزهای قابل توجهی اجرا شود که بعید است به بسیاری از آنها نیاز باشد.”


منبع: https://www.zdnet.com/article/log4j-flaw-why-it-will-still-be-causing-problems-a-decade-from-now/#ftag=RSSbaffb68