คำแนะนำเกี่ยวกับช่องโหว่ Log4j
บทความ

โดยBiew Apaporn - 07/01/2022

แชร์หน้านี้

ตามที่Microsoft Security Response Teamระบุ ช่องโหว่ 0 วันของ Apache Log4j อนุญาตให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้ตรวจสอบสิทธิ์ และเริ่มทำงานเมื่อสตริงที่สร้างขึ้นเป็นพิเศษโดยผู้โจมตีผ่านอินพุตเวกเตอร์ต่างๆ แยกวิเคราะห์และประมวลผลโดยคอมโพเนนต์ที่มีช่องโหว่ Log4j 2 การโจมตีเกิดขึ้นไม่ถึงหนึ่งวันหลังจากการรายงาน และ Netlab แผนกความปลอดภัยเครือข่ายของ Qihoo 360 ยักษ์ใหญ่ด้านเทคโนโลยีของจีน เปิดเผยว่าผู้โจมตีเช่นMirai และ  Muhstik  (หรือที่เรียกว่า Tsunami) ยังคงมองหาเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อใช้ประโยชน์

ในปัจจุบัน ช่องโหว่นี้หรือที่เรียกว่า  CVE-2021-44228ในปัจจุบันมีคะแนนพื้นฐานของเมทริกซ์ความเสี่ยงที่ 10 ซึ่งเป็นความเสี่ยงสูงสุดตามคำแนะนำของ Oracleและถูกระบุว่าเป็นระดับความรุนแรงที่สำคัญโดยGitHub

 

คุณได้รับผลกระทบหรือไม่?

เพื่อตรวจสอบว่าแอปพลิเคชันของคุณได้รับผลกระทบจากช่องโหว่นี้หรือไม่:

  • กำหนดเวอร์ชัน Log4j ปัจจุบันของคุณและอัปเดต ทุกเวอร์ชันก่อน2.16.0ได้รับผลกระทบ ขอแนะนำเนื่องจากพบว่า Apache Log4j 2.15.0 ไม่สมบูรณ์ในการกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นบางอย่าง ช่องโหว่นี้เรียกว่า ” CVE-2021-45046 ” ทำให้เวอร์ชันก่อนหน้ามีความเสี่ยงต่อการถูกโจมตี ด้วยเหตุนี้ Log4j 2.16.0 จึงสามารถแก้ไขปัญหานี้ได้โดยลบการสนับสนุนสำหรับรูปแบบการค้นหาข้อความและปิดใช้งานฟังก์ชัน JNDI ตามค่าเริ่มต้น
  • กำหนดเวอร์ชัน Java ปัจจุบันของคุณและอัปเดต ทุกเวอร์ชันที่ต่ำกว่าเวอร์ชันด้านล่างมีความเสี่ยง:
    • Java 6 – 6u212
    • Java 7 – 7u202
    • ชวา 8 – 8u192
    • Java 11 – 11.0.2

หากแอปพลิเคชันมีปัญหาทั้ง Java และ Log4j ตามคำแนะนำของ Certnzจะได้รับผลกระทบอย่างแน่นอน แต่คุณยังสามารถตรวจสอบช่องโหว่โดเมนของคุณโดยใช้เครื่องมือทดสอบเปิดแหล่งที่มาเช่น  GitHub – log4shell-ทดสอบ

 

Log4j โซลูชั่น?

 ดาวน์โหลด Log4j เวอร์ชั่น 2.16.0 (หากคุณไม่สามารถอัพเกรดได้ ให้ทำตามขั้นตอนด้านล่าง):

  • พฤติกรรมสามารถบรรเทาได้โดยการตั้งค่าคุณสมบัติของระบบ formatMsgNoLookups หรือตัวแปรสภาพแวดล้อมLOG4J_FORMAT_MSG_NO_LOOKUPS เป็นจริง
  • หากใช้ version  >=2.0-beta9และ  <=2.10.0ให้ลบคลาสJndiLookupของ log4j ออก   จาก classpath ของ Java ดังนี้: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup .ระดับ

 

AppScan สามารถช่วยได้อย่างไร

HCL AppScan สามารถช่วยให้นักพัฒนาสแกนหาช่องโหว่ของ log4j CVE-2021-44228และCVE-2021-45046ด้วยการวิเคราะห์โอเพ่นซอร์ส (OSA) หรือการทดสอบความปลอดภัยแอปพลิเคชันแบบไดนามิก (DAST) ในโซลูชันการทดสอบความปลอดภัยแอปพลิเคชันบนคลาวด์ AppScan บนคลาวด์ .

เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ OSA ของ Cloud

เรียนรู้วิธีสแกนหาช่องโหว่ Log4j ด้วยHCL AppScan บนความสามารถ DAST ของ Cloud 

 

AppScan บนคลาวด์ (ASoC) คืออะไร?

ASoC นำเสนอชุดเครื่องมือทดสอบความปลอดภัยที่ครอบคลุมที่ไม่มีใครเทียบได้บนคลาวด์ รวมถึง SAST, DAST, IAST และ OSA ช่วยให้องค์กรสามารถจัดการจุดอ่อนได้ตั้งแต่ช่วงต้นของ Software Development Life Cycle (SDLC) ลดการตรวจพบที่ผิดพลาด แก้ไขโค้ดตามที่เขียน และให้ผลสหสัมพันธ์ขั้นสูงเพื่อส่งมอบผลลัพธ์ที่แม่นยำยิ่งขึ้น ช่วยให้องค์กรสามารถส่งมอบซอฟต์แวร์ที่ปลอดภัยและตรงตามข้อกำหนดได้เร็วยิ่งขึ้นและในวงกว้าง

 

หากสนใจ AppScan และชุดเครื่องมือทดสอบความปลอดภัยของเรา ซึ่งรวมถึง SAST, DAST, IAST สำหรับเว็บ และแอปพลิเคชันโอเพนซอร์ส ติดต่อเรา KTNBS

Biew Apaporn

เป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML

bigfix_workspace_9notes.jpg
expand_less