تحذر CISA من أن Log4Shell لا يزال يمثل تهديدًا
في الأسبوع الماضي، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيرًا لإخطار المنظمات بأن الجهات الفاعلة في مجال التهديد الخبيث تواصل استغلال ثغرة Log4Shell في اليوم صفر في VMware Horizon و Unified Access Gateway (UAG) للحصول على وصول أولي إلى الأنظمة المستهدفة دون الحاجة إلى التصحيحات اللازمة.
في التقرير، توصي CISA جميع المؤسسات ذات الأنظمة المتأثرة التي لم تنشر التصحيحات “بافتراض التسوية والبدء في أنشطة البحث عن التهديدات.”
قبل كل شيء، يسلط الإشعار الضوء على أن المؤسسات التي لم تقم بإصلاح Log4Shell لا تزال معرضة للخطر، وعلى الأقل، تحتاج إلى نشر التصحيحات المتاحة على أنظمتها، إذا لم تتخذ خطوات لمعالجة التطفل.
نظرة على تاريخ Log4Shell
اكتشف فريق الأمان السحابي في Alibaba لأول مرة ثغرة Log4Shell وأبلغ عنها في Apache في 24 نوفمبر 2021.
لاحظ الباحثون في البداية أن المهاجمين يستخدمون ثغرة في Apache Log4j 2، وهي مكتبة مفتوحة المصدر تسجل الأخطاء والأحداث داخل تطبيقات Java، لتنفيذ تعليمات برمجية ضارة عن بُعد إلى الخوادم والعملاء الذين يقومون بتشغيل Minecraft .
بينما قام Apache بتصحيح الثغرة الأمنية في 9 ديسمبر 2021، اكتسب Log4Shell بالفعل سمعة باعتباره ثغرة خطيرة في يوم الصفر، وحذر المعلقون من أنه قد “يعيث فسادًا عبر الإنترنت لسنوات قادمة”، مع ما يقدر بنحو 3 مليارات جهاز قابل للاستغلال.
مع تزايد الدعاية حول الثغرة الأمنية، بدأت الجهات الفاعلة في التهديد في توجيه الهجمات على المؤسسات في جميع أنحاء العالم، حيث وجدت Microsoft زيادة في التقنيات بما في ذلك المسح الشامل، وتعدين العملات، وإنشاء قذائف بعيدة، ونشاط الفريق الأحمر.
منذ ذلك الحين، أدى الاستغلال إلى تقليل الثقة في البرامج السحابية لجهات خارجية لدرجة أن 95٪ من قادة تكنولوجيا المعلومات أفادوا أن Log4Shell كان بمثابة دعوة إيقاظ رئيسية للأمان السحابي.
بالإضافة إلى ذلك، أفاد 87٪ بأنهم يشعرون بثقة أقل بشأن أمان السحابة الخاصة بهم الآن عما كانوا عليه قبل وقوع الحادث.
العديد من حزم البرامج المتأثرة لا تزال غير مصححة
على الرغم من مرور شهور على اكتشاف Log4Shell لأول مرة ونشر العديد من المؤسسات الثغرات الأمنية اللازمة لحماية أنظمتها، إلا أن معظمها لم يفعل ذلك.
في الواقع، في أبريل من هذا العام، وجد تقرير Rezilion أن ما يقرب من 60 ٪ من حزم برامج Log4Shell المتأثرة لم يتم إصلاحها.
يسلط التحذير الأخير الصادر عن CISA الضوء على أن الفشل في تصحيح هذه الأنظمة قد يكون بمثابة إشراف مكلف، بالنظر إلى أن الجهات الفاعلة في التهديد لا تزال تبحث بنشاط عن أنظمة غير مسبوقة لاستغلالها.
الطريقة الوحيدة لتقليل تهديدات يوم الصفر هذه هي أن تقوم المؤسسات بتنفيذ خطة تصحيح منظمة، للتأكد من أن أي خوادم تواجه الإنترنت مصححة ومحمية.
قال إريك كرون، مناصر التوعية الأمنية مع KnowBe4. “في حين أن التصحيح يمكن أن يمثل تحديًا ويمكن أن يشكل خطرًا حقيقيًا لانقطاع التيار إذا كانت هناك مشاكل، يجب أن يكون لدى أي مؤسسة لديها أجهزة مواجهة للإنترنت نظام قائم واختبار لتقليل المخاطر بشكل كبير.”
الآثار الأمنية للفشل في تصحيح log4j
في هذه المرحلة من دورة حياة الثغرة الأمنية، يعد الفشل في تصحيح الأنظمة المكشوفة خطأً فادحًا يشير إلى أن المنظمة لديها فجوات كبيرة في إستراتيجيتها الأمنية الحالية.
“تتوفر تصحيحات إصدارات Log4j المعرضة لخطر Log4Shell منذ ديسمبر. وهذا يشمل تصحيحات لمنتجات VMware “، قال تيم ماكي، استراتيجي الأمن الرئيسي داخل مركز أبحاث الأمن السيبراني Synopsys. “
لسوء الحظ، تفتقر المؤسسات التي لم تقم بعد بتصحيح Log4j أو VMware Horizon إلى استراتيجية قوية لإدارة التصحيح، سواء كانت استراتيجية تجارية أو مفتوحة المصدر، أو لديها حالات لنشر الظل.”
أبرز ماكي أيضًا أنه في حين أن استخدام التواصل الإعلامي لتشجيع المؤسسات على تصحيح نقاط الضعف الجديدة يمكن أن يكون فعالًا، إلا أنه ليس بديلاً عن المراقبة الاستباقية لبرامج استغلال الثغرات.
نظرة على الحلول
في حين أن الحديث عن إصلاح الثغرات الأمنية أسهل من فعله في بيئات الشبكات الحديثة المعقدة، إلا أن هناك عددًا متزايدًا من حلول إدارة التصحيح التي يمكن للمؤسسات استخدامها لدفع التصحيحات إلى أجهزة متعددة عن بُعد وبكفاءة.
تستخدم العديد من المؤسسات بالفعل حلول إدارة التصحيح للحفاظ على تحديث أجهزتها، حيث يتوقع الباحثون أن سوق إدارة التصحيح العالمي سينمو من قيمة 652 مليون دولار في عام 2022، لتصل إلى 1084 مليون دولار بحلول عام 2027.
لمعالجة ثغرة Log4Shell على مستوى أكثر دقة، يمكن للمؤسسات الاستفادة من أدوات فحص الثغرات الأمنية مثل PortSwigger BurpSuite Pro و Nmap و TrendMicro’s Log4J Vulnerability Tester لتحديد الملفات المكشوفة حتى يتمكنوا من اتخاذ إجراءات لمعالجتها.
تجدر الإشارة أيضًا إلى أن بائعي التكنولوجيا البارزين مثل Microsoft و Google قد نشروا حلولهم الخاصة لمساعدة المؤسسات على تحديد Log4j والتخفيف من حدته.
قامت Microsoft بتوسيع برنامج Microsoft Defender حتى تتمكن من فحص الأجهزة بحثًا عن ملفات Log4j التي تحتوي على نقاط ضعف.
تقدم Google Cloud ميزة التسجيل في السحاب للسماح للمؤسسات بالاستعلام عن السجلات لمحاولات استغلال Log4j 2 وإصدار تنبيهات لإعلامهم عند كتابة رسائل الاستغلال في السجلات.
من خلال الجمع بين حلول إدارة التصحيح والمسح الاستباقي للثغرات الأمنية، يمكن للمؤسسات تحديد البنية التحتية المخترقة وعمليات الاستغلال مثل Log4j قبل أن يتمكن المهاجم من استغلالها.
المصدر: venturebeat
شاهد ايضا:
