تاثیر طولانی Log4Shell بر امنیت شما

تاثیر طولانی Log4Shell بر امنیت شما

بسیاری از مطبوعات بر تأثیر آسیب پذیری Log4j بر خدمات میزبانی شده در سراسر اینترنت متمرکز شده اند. آسیب‌های موجود در آنجا را نمی‌توان نادیده گرفت و از آن به عنوان یکی از بدترین آسیب‌پذیری‌هایی که در بیش از ۱۰ سال گذشته به صنعت ضربه زده است، یاد می‌شود.در این پست HiVPN با ما همراه شوید.

شرکت‌های بزرگی که بسیاری از این سرویس‌های میزبان اینترنت را اجرا می‌کنند، منابع زیادی دارند. این بدان معناست که وصله‌هایی برای رفع این آسیب‌پذیری‌ها در راه است و در زمان مقرر تکمیل خواهند شد.

با این حال، تأثیر چنین آسیب‌پذیری در طرح کلان چیزها بسیار ناچیز است. میلیاردها دستگاه برنامه های جاوا را اجرا می کنند (از جمله دستگاه هایی که در خانه استفاده می کنیم). اگر هر یک از آنها به یک نسخه آسیب پذیر Log4j وابستگی داشته باشد، زمانی که مهاجم یک بردار برای سوء استفاده از آسیب پذیری در دستگاه پیدا کند، زمان زیادی خواهد بود.

این احتمال وجود دارد که بسیاری از چنین برنامه‌هایی که روی سیستم‌های ما نصب شده‌اند، دیگر نگهداری نمی‌شوند، و حتی اگر مشکلی وجود داشته باشد، کاربران احتمالاً به‌طور خودکار به نسخه ایمن وصله نمی‌کنند. علاوه بر این، بسیاری از کاربران اطلاعی ندارند که چنین آسیب‌پذیری حتی در برنامه‌های نصب شده آنها وجود دارد. دستگاه های آنها ممکن است برای مدت طولانی آسیب پذیر باقی بماند.

بازتولید اکسپلویت

آسیب‌پذیری بسیار عمومی در Minecraft، که به مهاجمان اجازه می‌دهد تا کدهای مخرب را به سادگی با چسباندن بار در چت Minecraft بر روی دستگاه شما اجرا کنند، تحقیقاتی را در اینجا در HiVPN  در مورد اینکه ما می‌توانیم برای محافظت بهتر از مصرف‌کنندگان انجام دهیم، آغاز کرد.

ما اکسپلویت را در تنظیمات آزمایشگاهی خود بازتولید کردیم (در ویدیوی بالا نشان داده شده است) و تأیید کردیم که این مشکل در نسخه‌های آسیب‌پذیر مشتری Minecraft است. یک تماس برگشتی به سرور مهاجم در پورت LDAP انجام شد و یک بار مخرب بر روی دستگاه کاربر اجرا شد. چیزی که ما را نگران کرد این بود که اگر شما برنامه‌ای را اجرا می‌کنید که در برابر Log4Shell آسیب‌پذیر است، مهاجم می‌تواند رایانه شما را از راه دور کنترل کند.

کمی عمیق‌تر کاوش کردیم و برنامه‌های کاربری دیگری را یافتیم که تحت تأثیر آسیب‌پذیری Log4j قرار دارند، و شامل IDE Arduino مورد استفاده علاقه‌مندان به سخت‌افزار برای برنامه‌نویسی میکروکنترلرهای خود ، ابزار تست منبع باز OWASP ZAP و حتی مهندسی معکوس منبع باز بود. ابزار Ghidra . ما پیش‌بینی می‌کنیم که فروشندگان بیشتری آسیب‌پذیری‌های مشابهی را در هفته‌ها و حتی ماه‌های آینده اعلام کنند، به این معنی که بسیاری از برنامه‌های کاربردی دیگر تا آن زمان بدون اصلاح باقی خواهند ماند.

ما پیش‌بینی می‌کنیم که دنباله‌ای طولانی از عوامل تهدید برای سوءاستفاده از برنامه‌های کاربردی کلاینت مستعد Log4Shell در دستگاه‌های کاربر استفاده کنند، زیرا بسیاری از افراد همچنان برنامه‌های آسیب‌پذیر را نصب می‌کنند. با توجه به این موضوع، در ۱۴ دسامبر ۲۰۲۱، ما در HiVPN  تصمیمی سریع و قاطع برای مسدود کردن ترافیک خروجی LDAP بر اساس شماره پورت گرفتیم و بلوک را برای همه مصرف کنندگان خود منتشر کردیم. این به عنوان یک لایه محافظ عمل می کند تا از کشیدن بارهای مضر مرحله دوم جلوگیری کند که به مهاجم اجازه می دهد دستورات دلخواه را روی رایانه شما اجرا کند.

تکنیک کاهش HiVPN

یک لایه محافظ به عنوان اولین خط دفاعی

یک لایه حفاظتی جدید در ساعت ۰۹:۳۰ به وقت گرینویچ، ۱۴ دسامبر ۲۰۲۱ اجرا شد و در تمام سرورهای VPN HiVPN  در سراسر جهان به صورت زنده است. این بدان معنی است که همه افرادی که از HiVPN  در دستگاه یا روتر خود استفاده می کنند از آسیب پذیری Apache Log4j محافظت می کنند. این کاهش در سمت سرور است، بنابراین هیچ اقدامی از جانب کاربران لازم نیست.

با وجود حفاظت، می توان حملات را کاهش داد زیرا ترافیک خروجی LDAP برای بارهای پیش فرض مسدود شده است. ما می‌توانیم دفاع را در بازی در زیر ببینیم، و از سوء استفاده با موفقیت بدون هیچ نشانه‌ای از تماس‌های برگشتی به سرور مهاجم هنگام اتصال به HiVPN  جلوگیری شد.

آیا برنامه های HiVPN  تحت تأثیر قرار می گیرند؟

هیچ یک از برنامه های مشتری HiVPN  Log4j را به عنوان وابستگی شامل نمی شود. در حال حاضر هیچ اقدامی از سوی کاربران HiVPN  مورد نیاز نیست.

برای محافظت از خودم چه کنم؟

برنامه های خود را مرور کنید

به عنوان یک اولویت، برنامه های نصب شده در دستگاه خود را بررسی کنید و برنامه هایی را که دیگر استفاده نمی شوند حذف کنید. در مرحله بعد، برای برنامه های موجود در دستگاه خود، زمانی را به بررسی نسخه های نصب شده اختصاص دهید و مطمئن شوید که با در دسترس قرار گرفتن نسخه های جدید، آنها را به روز کنید. اگر نسخه نصب شده یک نسخه غیر رسمی است، برای کاهش خطر احتمالی، برنامه را حذف کنید.

قوانین فایروال

همچنین توصیه می‌کنیم قوانین فایروال زیر را به عنوان دفاع پایه به کار ببرید که در صورت استفاده مهاجم از پورت‌های پیش‌فرض در محموله خود، از بهره‌برداری جلوگیری می‌کند.

• مسدود کردن TCP/UDP خروجی در پورت‌های LDAP (389، ۱۳۸۹، ۳۲۶۸، ۳۲۶۹)
• مسدود کردن TCP/UDP خروجی در پورت‌های RMI (1099)

کاربرانی که به HiVPN  متصل هستند، بدون نیاز به انجام هر گونه اقدام دیگری، حفاظت های پایه فوق را دریافت می کنند.

دفاعیات را بررسی کنید

کاربرانی که از سیستم‌های دفاعی بالا استفاده می‌کنند (یا به HiVPN  متصل هستند) می‌توانند با راه‌اندازی یک محیط Rust و نصب یک برنامه Rust ساده ، بررسی کنند که دفاع کار می‌کند ، که یک جستجوگر میزبان ابر را جستجو می‌کند و اطمینان می‌دهد که پورت‌های خروجی فهرست‌شده در بالا مسدود شده‌اند. :

cargo install log4j-portscan
log4j-portscan

در زیر می توانید تفاوت های روشن و خاموش VPN را مشاهده کنید. کاربرانی که قوانین خود را اجرا می کنند می توانند از ابزار زیر برای انجام بررسی ها نیز استفاده کنند.

آگاه باشید

آگاهی و درک تأثیر گسترده آسیب پذیری بر روی برنامه های مشتری نصب شده در دستگاه های کاربر به Log4Shell، کلید کوتاه کردن دم بلند این آسیب پذیری است. ما همه کاربران را تشویق می‌کنیم که مراقب به‌روزرسانی‌ها باشند و وصله‌های فروشنده را با جدیت اعمال کنند.

ما در این پست قصد داشتیم که تمامی مطالب تاثیر طولانی Log4Shell بر امنیت شما را به صورت کامل بپردازیم.

ما همچنین از جامعه امنیتی بزرگ‌تر دعوت می‌کنیم تا عمیق‌تر این موضوع را بررسی کنند و آسیب‌پذیری‌های موجود در این برنامه‌ها را در اختیار برنامه‌های افشای مسئول مربوطه قرار دهند که فروشندگان نرم‌افزار اجرا می‌کنند.