چند روزی هست که یه مشکل امنیتی در کتابخانه بسیار محبوب Log4j پیدا شده. کتابخونه Log4j که یکی از صدها محصول بنیاد Apache هست، به برنامه نویسان جاوا اجازه میده که گزارش هاشون رو به صورت مجتمع، بدون نیاز به کدنویسی مجزا و با یه قالب واحد داشته باشن. این مشکل امنیتی که اجازه Remote Code Execution رو به حمله کننده میتونه بده دارای بالاترین حد خطر یعنی 10 از 10 هست.
تقریباً هر نرم افزار جاوایی که یه سرویسی رو توی شبکه ارائه میده از این کتابخونه استفاده می کنه تا بتونه برای مدیران شبکه و مدیران سیستم لاگ بگیره. بنابراین اگه از یه سرویس بر اساس جاوا استفاده میکنید، حتماً مستندات تولید کننده نرم افزارتون رو مطالعه کنید تا ببینید تولید کننده چه پیشنهادی داده و در اولین فرصت Patch یا Update ارائه شده برای رفع مشکل رو دریافت و نصب کنید.
تمام شرکت های بزرگ نرم افزاری دنیا از جمله VMware و Adobe و ManageEngine و … با مسئله درگیر هستن و دارن روی راه حلی برای نرم افزارهاشون کار میکنن و مستمراً دارن مانیتور میکنن تا ببینن آیا مشکلی برای کاربرانشون ایجاد شده یا خیر.
غول اینترنتی Cloudflare هم با تمام توانش جلوی حملات ایستاده و سعی میکنه که کابرانش رو در برابر این حفره محافظت کنه.
راه حل خود Apache این هست که به نسخه 2.16 (یا 2.12.2 برای جاوا 7) آپگرید کنید، اما با توجه به اینکه آسیب پدیری مربوط به یه کتابخونه هست که به عنوان بخشی از یه نرم افزار دیگه براتون نصب شده باید صبر کنید تا تولید کننده نرم افزار اون رو براتون آپگرید کنه. اگه از نرم افزاری استفاده می کنید که به دلایلی دیگه آپدیت نمیشه کل کلاس آسیب پذیر رو حذف کنید:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
به طور خاص مثلاً VMware vCenter آسیب پذیر هست و VMware داره روی یه Patch برای رفع مشکل کار میکنه و در حال حاضرش پیشنهادش رو توی این صفحه آورده.
چون حفره مربوط به JNDI یا همون Java Naming and Directory Interface هست، پیشنهاد فعلی Adobe برای محصول Connect این هست که فعلاً LDAP Lookup رو غیرفعال کنید.
شرکت های بزرگ دیگه ای مثل HPE و Dell و … هم دارن محصولاتشون رو بررسی میکنن و همگی صفحاتی از وب سایتشون رو اختصاص دادن که پیشرفت کارِ بررسی رو به کاربرانشون اطلاع میده.
ما هم به نوبه خودمون محصولات مختلف رو رصد میکنیم و به محض ارائه شدن وصله امنیتی اون رو در اختیار همراهان و همکاران عزیز خواهیم گذاشت.
در این بازه زمانی که تولید کننده ها وصله های امنیتی شون رو آماده می کنن، حتی المقدور با محدود کردن دسترسی سرویس های آسیب پذیر و ایجاد امکان اتصال صرفاً برای موارد ضروری؛ Attack Surface مربوط به این سرویس ها رو به حداقل برسونید.
ازتون سپاسگزار میشیم اگر در بخش نظرات سرویس های آسیب پذیر، راه حل ها و تجربیاتتون رو با سایر همکاران به اشتراک بذارید.
پی نوشت 1: شرکت Adobe برای نرم افزار Adobe Connect خودش یه Patch ارائه داده که برای نسخه های 10.1 به بعد قابل استفاده هست و از اینجا می تونید دریافتش کنید.