ينتشر القلق حاليا في مجتمع الأمن على الإنترنت مع اكتشاف ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد ، إنها ثغرة Log4J.
لسنوات متعاقبة، ظلت لغة Log4J المستخدمة في برامج جافا حلا لكثير من المبرمجين لسهولتها وكونها مجانية، لكنها اليوم أصبحت كابوس جميع شركات التكنولوجيا عالميا، Copyright © Apache Software Foundation. |
خلال الفترة الماضية، استخدم قراصنة الإنترنت ثغرة Log4J بشكل أساسي في تعدين العملات المشفرة مثل بيتكوين ، وقليلا ما استخدموه للتجسس، لكن الخبراء الأمنيين يرون أن الأسوء لم يأتي بعد، وأنه سيكون أكثر قتامة مما يتوقع الجميع.
الثغرة الأمنية CVE-2021-44228:
الثغرة الأمنية تم ترميزها بالكود CVE-2021-44228، كما أطلق عليها أيضا LogJam، تسمح لقراصنة الإنترنت بالقيام بفئة هجمات إلكترونية تسمي (RCE) ، وهي هجمات تمكنهم من تنفيذ عمليات برمجية لم يسمح بها مالك الجهاز المخترق أصلا مثل استغلال قدرات جهازه في التعدين عن العملات المشفرة مثل بيتكوين.
كما يمكن للمخترق إطلاق برنامج الفدية الذي يمنع المستخدم من الوصول للمعلومات على جهازه الا بعد دفع مبلغ كفدية للمخترق يكون في حالات كثيرة في صورة عملات إلكترونية مثل بيتكوين، أو عمل عملية format كاملة يفقد فيها كافة المعلومات المخزنة لديه.
كما يمكن استخدام الجهاز المخترق وإدخاله فيما يسمي (شبكات الروبوت) botnets وهي شبكة تستخدم أعداد كبيرة من الأجهزة المخترقة لإغراق مواقع الإنترنت بزيارات وهمية، أو لأرسال بريد إلكتروني عشوائي، أو لأغراض أخرى غير قانونية.
يستطيع القرصان المخترق لجهاز الضحية من أن ينفذ هذه العملية أساسا عندما يخترق الجهاز من الثغرة المسماه Log4j 2، وهو في مكان بعيد تماما عن الجهاز الذي اخترقه، ومن المحتمل أن يستطيع المخترق في هذه الحالة أن يتحكم بالجهاز الذي اخترقه، وبصورة كاملة.
في تعريفها للثغرة، وصفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة Log4j بأنها ثغرة تتسبب في حدوث اختراق عبر التطبيقات والمواقع التي تستخدم لغة جافا Java، وصنفتها الوكالة تحت درجة (شديدة وحرجة)، وتوقعت الوكالة المسؤولة عن أمن المؤسسات الأمريكية أنها ستستمر لفترة طويلة.
أما صحيفة "واشنطن بوست" أحد أهم الصحف العالمية اختارت أن تصف ثغرة Log4j في التقرير الذي وضعته عنها بأنها ((أخطر خرق أمني يتم الكشف عنه))... وزادت عليه صحيفة إكسبريس ميل البريطانية بالقول أن هناك مئات الملايين من الأجهزة معرضة للخطر.
شركة كاسبر سكاي Kaspersky لأمن الإنترنت أضافت سببا جديدا للقلق بشأن ثغرة Log4j حينما وصفتها بالثغرة التي يستطيع أي مخترق ولو كان معدوم الخبرة أن يستغلها.
ملايين الهجمات:
بحسب صحيفة "فايننشال تايمز" البريطانية الشهيرة فإن قراصنة الإنترنت نفذوا ما يزيد عن ١،٢ مليون هجوم من خلال استغلال ثغرة Log4j (بمعدل يزيد عن ١٠٠ هجوم في الدقيقة الواحدة).
وربما تكمن خطورة ثغرة Log4j بخلاف كونها ثغرة يستطيع قراصنة الإنترنت الدخول عبرها لجهازك، في الحقيقة التي أشار إليها موقع wired الأمريكي المتخصص في التكنولوجيا، الحقيقة التي تقول أن هناك مجموعات كاملة من الشركات والمؤسسات والأفراد يفتقرون القدرة حتى لمعرفة ما إذا كان قد تم اختراقهم بالفعل ام لا.
قد يستغل المخترق إمكانيات الأجهزة التي اخترقها في تكوين شبكة كبيرة من أجهزة الحاسب الآلي تعمل لمصلحته في تعدين العملات المشفرة مثل بيتكوين، Jernej Furman، (CC BY 2.0)، by Flickr. |
بشكل عام، سميت ثغرة Log4j بهذا الاسم، لأنها حدثت أساسا في برنامج مفتوح المصدر يحمل ذات الاسم، تم اكتشاف هذه الثغرة مؤخرا... لكن دعونا نشرح كيف يتم الاختراق من الأساس؟.
في البداية فإن Log4j هي في الأصل مجموعة من التعليمات البرمجية التي تستخدمها التطبيقات لمعرفة أنشطتها السابقة، لذا يستخدمها المبرمجون عادة في تطبيقاتهم لتسهيل عملهم، خصوصا أنه يتميز بسهولة الاستخدام، فضلا عن كونه مجاني.
هذه المجموعة من التعليمات البرمجية المسماة Log4j تقوم بعمل ما يشبه (سجل) عندما يقوم المبرمج باستخدامها. ما تم اكتشافه أن الثغرة هنا تتركز في أنه لو حاول أحد المخترقين من Log4j بتسجيل سطر من التعليمات البرمجية الضارة، فإن Log4j سيسمح بذلك بكل سهولة.
وفقا لبعض التقارير، فإن أول من اكتشف هذا العيب منتدى للعبة الفيديو الشهيرة ماين كرافت Minecraft (لعبة ماين كرافت بالتحديد وصل حد سهولة استخدام الثغرة فيها لمجرد كتابة سطر من التعليمات البرمجية الضارة في مربع الدرشة أثناء اللعب)، بينما يشير آخرين إلى أن صاحب السبق في كشف الثغرة في Log4j كان أحد الباحثين الأمنيين في شركة التكنولوجيا الصينية Alibaba.
المشكلة بالنسبة لثغرة Log4j وصفتها صحيفة واشنطن بوست الأمريكية بأنه وإن كانت الثغرات الأمنية أمرا معتادا بالنسبة للإنترنت، فإن Log4j تجعلنا نتخيل أن نوعا شائعا من الأقفال يستخدمه ملايين الأشخاص لإغلاق أبواب منازلهم اكتشفنا أنه لم يعد فعال.
فإنه وإن كان تبديل قفل واحد لقفل جديد يعد أمرًا سهلاً، فإن العثور على ملايين المباني التي بها هذا القفل المعيب سيستغرق وقتًا وقدرًا هائلاً من العمل، هذه هي مشكلة Log4j (معرفة من تم اختراقه فعلا)... ثم الوقت الذي ستحتاجه شركات الأمن التكنولوجي مثل أفيرا وكاسبر سكاي وغيرهما لتطوير برامجها للتصدي لهذه الثغرة.
ما يجعل الأمر كارثيا، أن مجموعة التعليمات البرمجية Log4j تعد جزءا من برمجة لغة جافا Java، إنها لغة واسعة الانتشار منذ منتصف التسعينات، ولذا فإن أجزاء كبيرة من أكواد الكمبيوتر والهواتف الذكية والأجهزة اللوحية التي نعمل بها في حياتنا اليومية تستخدم لغة Java، وبالتالي فهي تحتوى على ثغرة Log4j.
من المرجح بشدة أن تتأثر شركات تقدم خدمات تخزين البيانات السحابي مثل جوجل Google و أمازون Amazon، و مايكروسوفت Microsoft، وآبل آي كلاود Apple iCloud، و سيسكو Cisco، و كلاود فلير Cloudflare، و إلاستيك سيرش Elasticsearch، و ريدهات redhat، وتسلا Tesla، و ستيم Steam.
والمشكلة أن هذه الشركات هي العمود الفقري لملايين التطبيقات التي نستخدمها في حياتنا اليومية.
وليت الأمر كان قد توقف عند هذا الحد، إذ ستؤثر ثغرة Log4j أيضا على بعض بائعي البرامج الواسعة الاستخدام آي بي ام IBM، و أوراكل Oracle، وسيلز فورس Salesforce، علاوة على بعض الأجهزة المتصلة بالإنترنت مثل أجهزة التليفزيون وكاميرات المراقبة، كل ذلك بات الآن في خطر.
وكأننا قد استيقظنا ذات صباح على مصيبة، اليوم فإن نصف أقفال أبواب المنازل في مدينة كاملة قد سرقت أو أصبحت عديمة الجدوى، فهل يمكن أن نتماشي مع من يصفون ثغرة Log4j بالإرهاب الإلكتروني؟.
بحسب واشنطن بوست، فإن موظفي شركات التكنولوجيا يندبون أيامهم منذ العاشر من ديسمبر ٢٠٢١ حتى وقتنا هذا، إذ يواصلون عملا لا ينقطع طيلة الليل والنهار بفحص التعليمات البرمجية التي تعتمد عليها شركاتهم للتأكد من كونها خالية من اي ضرر وآمنة، وبحسب مصدر من داخل شركة جوجل تحدث للصحيفة، فإنه قد تم ندب أكثر من ٥٠٠ مهندس لتلك المهمة فحسب داخل جوجل.
مشكلة أخرى من مشاكل ثغرة Log4j تتمثل في أنه قد يحدث أن يتم اكتشافها بالكامل وغلقها بالكامل، لكن كما أن المتسلل لمنزلك قد يزرع بداخله جهاز تنصت أو كاميرا في مكان غير مرئي، فإن المخترقين الذين ولجوا من خلال Log4j كان بمقدورهم أن يثبتوا تعليمات برمجية ضارة تعمل وكأنها "أبواب خلفية"، يستخدمونها للدخول مجددا، لذا فإن المشكلة ليست رصد الثغرة فقط، لكنها تشمل كذلك في كشف أي أبواب خلفية قد تركها المهاجمين ورائهم ليعودوا للتسلل في يوم آخر.
اللصوص حاضرين أيضا، إذ رصدت شركة الامن السيبراني الشهيرة AdvIntel في ١٧ ديسمبر ٢٠٢١ عصابة من عصابات برنامج الفدية المعروف (كونتي) تقوم بفحص عبر الإنترنت لرصد ثغرات Log4j وقامت بشن عدد من الهجمات بالفعل لتجميد بيانات ومعلومات الضحية وابتزازه بعدم تحريرها إلا بعد دفع الفدية.
في ١٣ ديسمبر ٢٠٢١ أعلنت جوجل أن "إعلانات Google" و"منصة Google للتسويق" لا تستخدما إصدارات Log4j المتأثرة بالثغرة المتعلّقة بالأمان.
الاستغلال السياسي:
على ما يبدو فإن استغلال كل شئ وأي مجال هو أحد قواعد الصراعات بين الدول.
الصحف الغربية مثل فايننشال تايمز البريطانية تتحدث عن اتهامات من باحثين في الأمن الإلكتروني لجماعات قراصنة إلكترونيين بالتبعية للحكومة الصينية باستغلال ثغرة Log4j التي لم يتم اكتشافها إلا في ١٠ ديسمبر ٢٠٢١.
أما الواشنطن بوست فنقلت اتهامات لقراصنة ومتسللين إيرانيين مدعومين من الحكومة الإيرانية بأنهم حاولوا استغلال ثغرة Log4j لاقتحام مواقع الحكومة الإسرائيلية وعدد من الشركات الإسرائيلية.
طرق التصدي لثغرة Log4j:
بالطبع ليس جيدا إثارة الذعر والحريق في نفوس من يقرأ هذا التقرير ونرحل، لذا فمن الضروري ترك توصيات التصدي لثغرة Log4J.
وبينما تشير كافة التوقعات إلي أن ثغرة Log4J ستستمر لأعوام قادمة تشكل تهديدا خطيرا، فإننا يجب أن نسأل أنفسنا.. ماذا علينا أن نفعل؟.
دعونا نتذكر أنه ليستطيع المخترق استغلال ثغرة Log4J، فإنه يتعين عليه تسليم تعليمات برمجية ضارة إلي خدمة تعمل بنظام التعليمات البرمجية Log4J.
بشكل أساسي علينا الإنتباه من رسائل البريد الإلكتروني المخادعة Phishing emails، تلك الرسائل التي تحاول خداعك لكي تضغط على رابط معين أو فتح موقع ما، هذه وسيلة أساسية لاستغلال الثغرة، وسيندفع الكثير من المهاجمين وراء تلك الطريقة بالتحديد.
قد يستغل المخترقين رسائل البريد الإلكتروني الوهمية لاختراقك، فإحرص أن تتبع تعليمات الأمن في التعامل مع هذه الرسائل، CC0 Public Domain، by pxhere. |
في هذه الأيام الصعبة، إذا وصلك رسالة بريد إلكتروني تفيد بأن حسابك قد تم اختراقه، أو أن طردا أو رسالة بريدية لم تصل إليك، فلا تفتح أي روابط أو مرفقات بالبريد الإلكتروني.
عليك أولا أن تتأكد ما اذا كنت تمتلك حسابا لدي الموقع أو الشركة التي أرسلت إليك، فإن لم تكن تملك من الأساس، قم بالتبليغ عن الرسالة انها احتيالية، ثم قم بحذفها تماما.
ثانيا إذا كان لديك طرد أو رسالة تتوقع وصولها بالفعل، فلا تفتح أي روابط أيضا، تواصل مع رقم خدمة العملاء الرسمي التابع للراسل، فقط هذه هي الطريقة الآمنة.
إذا كنت تقرأ هذا التقرير من دولة قطر.. يمكنك الإطلاع عبر هذا الرابط على تقريرنا الهام حول الطرق التي تستخدمها العصابات للاحتيال وسرقة الحسابات البنكية.
أفضل شئ يمكن فعله لسد ثغرة Log4J بالنسبة لمستخدمي الكمبيوتر والهواتف الذكية العاديين أن يقوموا بتحديث التطبيقات التي يستخدمونها بشكل دوري، إذ سيرسل مطوري هذه البرامج خلال الأيام القادمة تصحيحات لإصلاح الثغرة، وسيكون تنزيلها سريعًا أمرًا مهمًا بالنسبة للجميع.
كما يمكن للمبرمجين ومحترفي الكمبيوتر اتباع تعليمات شركات التكنولوجيا التي ستكون مفيدة بالنسبة لهم، ومنها على سبيل المثال:
*توصيات شركة مايكروسوفت:
توصي شركة مايكروسوفت بشدة بتطبيق التصحيحات الخاصة بالأمان، وتحديث المنتجات والخدمات المتأثرة في أسرع وقت ممكن، ووضعت دليلا كاملا لذلك على موقعها الرسمي يمكنكم الوصول إليه عبر هذا الرابط.
وقالت مايكروسوفت كذلك أنها ستخطر العملاء إذا ما اكتشفت تضررهم أو تعرضهم للاختراق.
*توصيات كاسبر سكاي Kaspersky :
توصي شركة كاسبر سكاي Kaspersky المتخصصة في أمن المعلومات وإنتاج برامج مكافحة الفيروسات والتجسس جميع المطورين بتحديث المكتبة إلى الإصدار 2.15.0.
*توصيات وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA):
توصي الوكالة بتحديث التطبيقات التي تعتمد أو مرتبطة بثغرة Log4J.