Log4Shell
This article is still under construction |
ما زال العمل جار على المقالة |
مقدمة
Log4Shell ثغرة أمنية من أهم الثغرات الأمنية التي تم اكتشافها في 24 تشرين الثاني/نوفمبر 2021 وتصيب حزمة برمجيات تسمى log4j، وهي حزمة برمجيات مستخدمة في عدد كبير جدا من البرامج والتطبيقات. بسبب انتشار استخدام هذه الحزمة ولأن الثغرة تعطي مستغلّها التحكم الكامل بالجهاز الذي يشغل log4j تم إعطاء هذه الثغرة التقييم CVSS 10 وهي الدرجة القصوى التي يمكن إعطاؤها لثغرة أمنية على هذا المعيار كما هو واضح في الصفحة الخاصة بالثغرة: CVE-2021-44228 على موقع nvd.nist.gov.
الحزمة موجودة مثلا في البرمجيات التي ترعاها وتطورها منظمة Apache مثل Kafka، Elasticsearch، Hadoop، Spark وجميعها برمجيات تستخدم ضمن برامج ونظم ومواقع. من بينها مثلا خدمة iCloud من Apple وMineCraft من Microsoft والأمثلة كثيرة جدا.
بسبب فداحة الثغرة وخطورتها، كانت ردة فعل العاملين في قطاع التكنولوجيا سريعة وجدية حيثما استطاعوا. على سبيل المثال، قامت حكومة ولاية كيبيك في كندا بإغلاق حوالي 4000 موقع انترنت حكومي، ريثما تتأكد الحكومة من أن الثغرة تم تفاديها وأنها لن تؤثر على تلك المواقع والخدمات (المزيد هنا). في حين لاحظت الحكومة البلجيكية محاولات لاستغلال هذا الثغرة للسيطرة على الخادمات التي تخدم مواقعها وخدماتها الالكترونية وقواعد البيانات فقامت على الفور بإيقاف العمل بجزء واسع من خدماتها.
قامت مؤسسة أپاتشي للبرمجيات Apache Software Foundation بإصدار تحديثات أمنية للحزمة وانهمك مدراء المشاريع ومدراء الأقسام التقنية في الأسابيع والشهور التي تلت الحدث على تحديث الأنظمة المهددة بسبب هذه الثغرة. كما قامت شركات الأمن الرقمي والشركات العاملة في تقنيات المعلومات بتطوير أدوات للتحذير من تواجد الثغرة في النظم، أو للتحذير من هجمات على النظم تحاول استغلال الثغرة، وأيضا إيقافها.
على مدى الأسابيع التي تلت اكتشاف الثغرة الأمنية الأولى في log4j، استطاع الباحثون في مجال أمن المعلومات والذين قاموا بمعاينة تصميم وسطور برمجة الحزمة ذاتها بعناية ودقة، اكتشاف مجموعة إضافية من الثغرات في الحزمة بدرجات مختلفة من الخطورة. كما استمرت الأقسام التقنية في الشركات والمؤسسات بمحاولة تحديث بنيتهم التحتية لتفادي اي اختراق. بالطبع توازى ذلك مع محاولة المخترقين الحصول على موطئ قدم على خوادم أنظمة الكثير من الشركات والمؤسسات التي لم تسرع في سد الثغرة.
ثغرات أمنية هامة Notable Vulnerabilities
الثغرات الأمنية Vulnerabilities
Attack Vectors, Vulnerabilities and Payloads
الهجمات الالكترونية الخبيثة Malicious Cyber Attacks
اقرأ أيضا See Also
هذه الفقرة ما تزال قيد الانشاء
مراجع References
CVE-2021-44228 على موقع mitre.org
CVE-2021-44228 على موقع nvd.nist.gov
Log4Shell على موقع wikipedia بالانجليزية
Facing cybersecurity threats, Quebec shuts down government websites for evaluation
Log4Shell explained – how it works, why you need to know, and how to fix it