لم ينتهي العام 2021 إلا و تأكدت المخاوف المبكرة بشأن ثغرة Log4j التي صنفت كأحد أكبر التهديدات لأمن الانترنت. بدأت الهجمات تستهدف الثغرة التي تم الكشف عنها في شهر كانون الأول 2021. تلك الثغرة تحتاج لجهود ضخمة لإصلاحها بسبب مساحة انتشارها. بعد يوم فقط من كشف الثغرة بدأت عمليات المسح من قبل قراصنة الانترنت محاولين استغلالها. علماً أنه يشار إلى هذه الثغرة باسم Log4Shell.
محاولات جدية لاستغلال ثغرة Log4j
وفقاً لما نشره darkreading فإن محاولات الاستهداف حين الإعلان عن الثغرة كانت كثيفة لدرجة وصلت أحياناً إلى 100 محاولة لاستغلال تلك الثغرة الأمنية في الدقيقة الواحدة.
للأسف لم تبدو هذه الأخبار جيدة بالنسبة للمؤسسات. لاحظ باحثو Check Point حينها أن أكثر من 60 نوعاً مختلفاً من برمجيات Exploit أصبحت متاحة في بشكل واسع. أمكن استغلال Log4Shell بعدة طرق – بما في ذلك عبر HTTP و HTTPS -. يعني ذلك للأسف أن طبقة واحدة من الحماية وحدها ضد التهديد لم تعد كافية.
كما أبلغت العديد من شركات الأمن عن نشاط مماثل. لاحظت Sophos مثلاً “مئات الآلاف” من المحاولات لمهاجمة تلك الثغرة . كان العديد من هذه الاختبارات عبارة عن عمليات مسح للثغرة الأمنية. يضاف لذلك اختبارات لاستغلالها ، ومحاولات لتثبيت مُعدِّني العملات المشفرة على الأنظمة التي تمت ملاحظة ضعفها. لاحظ باحثو Sophos أن المهاجمين يحاولون استخدام الخلل لاستخراج ” extract” مفاتيح التشفير والبيانات الحساسة الأخرى من الخدمات السحابية ، بما في ذلك منصة Amazon Web Services (AWS).
وفي الوقت نفسه ، قالت شركة Cisco Talos إن تحليلها أظهر أن أولى المحاولات لاستغلال Log4Shell حدثت في 2 كانون الأول-2021. وأشار آخرون إلى أن النشاط المستغل ربما كان مستمراً لعدة أسابيع قبل الكشف عن الخلل في 9 كانون الأول. قالت شركات الأمن المعنية بمتابعة هذا الخلل ، إن معظم الأنشطة الخبيثة حول Log4Shell شملت حتى ذلك الوقت coin miners and botnet operators. لكنها اتضح أنها كانت مسألة وقت فقط قبل أن تبدأ الجهات الفاعلة الأخرى ، بما في ذلك تلك التي تحفزها المكاسب المالية والتجسس ، في استغلال هذه الثغرة للوصول إلى الشبكات المستهدفة.
عيب خطير وسهل الاستغلال
Log4j هي أداة تسجيل موجودة في كل مكان تقريباً في تطبيقات Java. إن الخلل (CVE-2021-44228) يمنح المهاجمين طريقة لتنفيذ تعليمات برمجية عشوائية عن بُعد على أي تطبيق يستخدم Log4j. وصف الخبراء الخلل بأنه يمكن استغلاله بسهولة نسبياً. سعطي ذلك المهاجمين وسيلة لكسب موطئ قدم على أي شبكة لديها هذه الثغرة..
في الواقع فإن هذه الأداة الضعيفة متضمنة في الخوادم والخدمات التي تستخدمها المؤسسات يومياً. تشمل البرامج والخدمات المتأثرة حتى تلك التي طورتها المؤسسة داخلياً. و تلك المسندة لجهات خارجية مثل Amazon و Cloudflare و VMware و Google و Apache Solr وغيرها.
قد تكون هذه الثغرة الأمنية موجودة في واجهات برمجة التطبيقات (APIs) التي تستخدمها المؤسسات. لذلك ، حذر Noname Security من أنه حتى إذا لم تستخدم المؤسسة بشكل مباشر logging framework ، فإن واجهة برمجة تطبيقات ضعيفة قد تعرضها للهجوم. غالباً سيكون من الصعب التعرف على التطبيقات الضعيفة بسبب الطريقة التي تعمل بها ال Java Packing.
على سبيل المثال ، تحتوي ملفات أرشيف جافا (JAR) على جميع البرامجيات المعتمد عليها، بما في ذلك مكتبة Log4j. ويمكن أن يحتوي ملف JAR أيضًا على ملف JAR آخر (والذي قد يحتوي أيضًا على ملف JAR آخر) – مما يؤدي بشكل تداخل هذه الثغرة الأمنية بشكل معقد.
وفقاً للباحثين في Huntress Labs ، في النهاية ، من المحتمل أن تتأثر كل مؤسسة تقريباً بهذه الثغرة بطريقة أو بأخرى. و هناك احتمال كبير للغاية أن يتفاعل أي شخص مع البرامج أو التكنولوجيا التي لديها هذه الثغرة الأمنية في مكان ما.
تخفيف المخاطر-صعوبات و تحديات
أحتاجت المنظمات التي عملت على التخفيف من مخاطر خلل الـ Log4Shell إلى النظر إلى ما هو أبعد من الخوادم والتطبيقات المتصلة بالبيئة الخارجية. فهناك عمليات استغلال الثغرات يتم تشغيلها في الأنظمة الداخلية للمؤسسة أيضاً، مثل log collection systems وأنظمة SIEM.
علمت المؤسسات أنه يجب الاستجابة لهذا الخطر الأمني بشكل فوري عبر مراجعة أي شيء ينتهي بمعالجة مدخلات يوفرها المستخدم. وأوصت شركة Forrester Research بأن يتم تخفيف المخاطر على التوازي من خلال: المنع والكشف ، إدارة مخاطر البائعين ، و التواصل الداخلي و الخارجي حول طبيعة التهديد.
تطلب ما سبق جهداً متعدد الجوانب لإدارة الثغرة الأمنية. ويشمل ذلك جهداً داخلياً، وخارجياً مع الموردين لمنع الهجمات أو لتطوير القدرة على الاستجابة بسرعة لها.
تم تحديد ما إذا كانت أي أنظمة داخلية قد تأثرت بهذه الثغرة الأمنية وبدء بالعمل على تصحيح تلك الأنظمة. وشمل ذلك تتبع جميع الموردين ذوي الصلة في جميع أنواع الخدمات.
استجاب أغلب الموردين لهذه الثغرة فأصدروا تحديثات عاجلة و أدوات مسح لكشف و معالجة الثغرة الأمنية. و بالمقابل قامت الكثير من المؤسسات بتحديث برامجها لتقليل الخطر.
الجهاز المناعي “السيبراني”
رغم أن ثغرة Log4j مازالت تشكل تهديداً إلا أن قسوة هذا التهديد و جديته تغيرت منذ 2021 إلى اليوم. ففي لحظة اكتشافها، بدت تلك ثغرة Log4j كارثية وربما من أخطر الثغرات الأمنية . كما أسلفنا فإن محاولات استغلالها كانت كبيرة جداً. لكن شهدنا لاحقاً في العام 2022 انخفاضاً في شهية المهاجمين لاستغلال هذه الثغرة أو لنقل تراجعاً في سطح الهجوم نتج عن تحديث أغلب المؤسسات لمخدماتها. لكن مع ذلك فالحذر واجب، لنقم بالتحديث و بكل اجراءات الحماية و كأن مستغلي الثغرة يستهدفون مؤسستنا ثم لنتابع عملنا و كأن التهديد أصبح وراءنا.
بالمحصلة، و نحن نحلل أسباب التراجع في مستوى التهديد الناتج عن ثغرة Log4j لا بد من التنويه بعامل مهم و هو تضافر الجهود العالمية و الخبراء في الأمن السيبراني التي شكلت ما يشبه الجهاز المناعي “السيبراني” الذي احتوى تلك الثغرة و قلل أضرارها فأصبحت مجرد ثغرة أخرى تم اكتشافها و التصدي لها.
