Log4Shell

من SalamaTech Wiki سلامتك ويكي
اذهب إلى التنقل اذهب إلى البحث
Under Construction Non Commercial Reuse White Blue.png
This article is still under construction
ما زال العمل جار على المقالة

مقدمة

Log4Shell ثغرة أمنية من أهم الثغرات الأمنية التي تم اكتشافها في 24 تشرين الثاني/نوفمبر 2021 وتصيب حزمة برمجيات تسمى log4j، وهي حزمة برمجيات مستخدمة في عدد كبير جدا من البرامج والتطبيقات. بسبب انتشار استخدام هذه الحزمة ولأن الثغرة تعطي مستغلّها التحكم الكامل بالجهاز الذي يشغل log4j تم إعطاء هذه الثغرة التقييم CVSS 10 وهي الدرجة القصوى التي يمكن إعطاؤها لثغرة أمنية على هذا المعيار كما هو واضح في الصفحة الخاصة بالثغرة: CVE-2021-44228 على موقع nvd.nist.gov.

الحزمة موجودة مثلا في البرمجيات التي ترعاها وتطورها منظمة Apache مثل Kafka، Elasticsearch، Hadoop، Spark وجميعها برمجيات تستخدم ضمن برامج ونظم ومواقع. من بينها مثلا خدمة iCloud من Apple وMineCraft من Microsoft والأمثلة كثيرة جدا.

بسبب فداحة الثغرة وخطورتها، كانت ردة فعل العاملين في قطاع التكنولوجيا سريعة وجدية حيثما استطاعوا. على سبيل المثال، قامت حكومة ولاية كيبيك في كندا بإغلاق حوالي 4000 موقع انترنت حكومي، ريثما تتأكد الحكومة من أن الثغرة تم تفاديها وأنها لن تؤثر على تلك المواقع والخدمات (المزيد هنا). في حين لاحظت الحكومة البلجيكية محاولات لاستغلال هذا الثغرة للسيطرة على الخادمات التي تخدم مواقعها وخدماتها الالكترونية وقواعد البيانات فقامت على الفور بإيقاف العمل بجزء واسع من خدماتها.

قامت مؤسسة أپاتشي للبرمجيات Apache Software Foundation بإصدار تحديثات أمنية للحزمة وانهمك مدراء المشاريع ومدراء الأقسام التقنية في الأسابيع والشهور التي تلت الحدث على تحديث الأنظمة المهددة بسبب هذه الثغرة. كما قامت شركات الأمن الرقمي والشركات العاملة في تقنيات المعلومات بتطوير أدوات للتحذير من تواجد الثغرة في النظم، أو للتحذير من هجمات على النظم تحاول استغلال الثغرة، وأيضا إيقافها.

على مدى الأسابيع التي تلت اكتشاف الثغرة الأمنية الأولى في log4j، استطاع الباحثون في مجال أمن المعلومات والذين قاموا بمعاينة تصميم وسطور برمجة الحزمة ذاتها بعناية ودقة، اكتشاف مجموعة إضافية من الثغرات في الحزمة بدرجات مختلفة من الخطورة. كما استمرت الأقسام التقنية في الشركات والمؤسسات بمحاولة تحديث بنيتهم التحتية لتفادي اي اختراق. بالطبع توازى ذلك مع محاولة المخترقين الحصول على موطئ قدم على خوادم أنظمة الكثير من الشركات والمؤسسات التي لم تسرع في سد الثغرة.


تنقّل في الكتيب eBook Navigation

ثغرات أمنية هامة Notable Vulnerabilities

الثغرات الأمنية Vulnerabilities

Attack Vectors, Vulnerabilities and Payloads

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

مراجع References

CVE-2021-44228 على موقع mitre.org

CVE-2021-44228 على موقع nvd.nist.gov

Log4Shell على موقع wikipedia بالانجليزية

Facing cybersecurity threats, Quebec shuts down government websites for evaluation

Log4Shell explained – how it works, why you need to know, and how to fix it