احتل برنامج التسجيل عناوين عناوين الأمن السيبراني عدة مرات من قبل ، لا سيما في حالة خطأ Apache Log4J المعروف باسم Log4Shell أن دمر عيد الميلاد للعديد من مسؤولي النظام في نهاية عام 2021.
كان ثقب Log4Shell عبارة عن ملف عيب أمني في عملية التسجيل نفسها ، واختصارًا إلى حقيقة أن العديد من أنظمة ملفات السجل تسمح لك بكتابة ما يقرب من "البرامج المصغرة" في منتصف النص الذي تريد تسجيله ، من أجل جعل ملفات السجل "أكثر ذكاءً" "وأسهل في القراءة.
على سبيل المثال ، إذا طلبت من Log4J تسجيل النص I AM DUCK، Log4J سيفعل ذلك بالضبط.
ولكن إذا قمت بتضمين أحرف الترميز الخاصة ${...}ثم اختيار بعناية ما قمت بإدخاله بين الأقواس المتعرجة ، يمكنك أن تخبر خادم التسجيل ، "لا تسجل هذه الأحرف الفعلية ؛ بدلاً من ذلك ، عاملهم كبرنامج صغير يتم تشغيله من أجلي ، وأدخل الإجابة التي تعود ".
لذلك باختيار النوع الصحيح من البيانات المفخخة لخادم ما لتسجيله ، مثل عنوان بريد إلكتروني تم إنشاؤه بشكل خفي أو لقب مزيف ، ربما يمكنك ، ربما فقط ، إرسال أوامر البرنامج إلى المسجل متخفية كنص قديم عادي.
لأن المرونة! لأن الراحة! لكن ليس بسبب الأمن!
هذه المرة
هذه المرة ، الخطأ المتعلق بالتسجيل الذي نحذرك منه هو CVE-2023-20864أو المعلم ثقب الأمن in عمليات Aria الخاصة بـ VMWare للسجلات المنتج (AOfL ، والذي كان يُعرف باسم vRealize سجل انسايت).
النبأ السيئ هو أن برنامج VMWare قد أعطى هذا الخطأ درجة "خطر أمني" لـ CVSS تبلغ 9.8 / 10 ، على الأرجح لأن الخلل يمكن إساءة استخدامه لما يُعرف باسم تنفيذ التعليمات البرمجية عن بعد (RCE) ، حتى من قبل مستخدمي الشبكة الذين لم يقوموا بتسجيل الدخول (أو الذين ليس لديهم حساب على) نظام AOfL.
يشير RCE إلى نوع الثغرة الأمنية التي وصفناها في مثال Log4Shell أعلاه ، وهذا يعني بالضبط ما يقوله: يمكن للمهاجم عن بُعد إرسال جزء كبير مما يُفترض أن يكون بيانات قديمة بسيطة ، ولكن ينتهي الأمر بالتعامل معها بواسطة النظام كأمر برمجي واحد أو أكثر.
ببساطة ، يجب على المهاجم تشغيل برنامج من اختياره ، بطريقة من اختياره ، كما لو أنه اتصل بمسؤول النظام وقال: "الرجاء تسجيل الدخول باستخدام حسابك الخاص ، وافتح نافذة طرفية ، و ثم قم بتشغيل التسلسل التالي من الأوامر نيابة عني ، دون سؤال ".
الخبر السار في هذه الحالة ، بقدر ما يمكننا أن نقول ، هو أنه لا يمكن تشغيل الخطأ ببساطة عن طريق إساءة استخدام عملية التسجيل عبر البيانات المفخخة المرسلة إلى أي خادم يحدث للتو للاحتفاظ بالسجلات (وهو تقريبًا كل شيء الخادم على الإطلاق).
بدلاً من ذلك ، يكون الخطأ موجودًا في خدمة AOfL "log Insight" نفسها ، لذلك سيحتاج المهاجم إلى الوصول إلى جزء شبكتك حيث تعمل خدمات AOfL بالفعل.
نحن نفترض أن معظم الشبكات التي يتم فيها استخدام AOfL ليس لديها خدمات AOfL الخاصة بها مفتوحة لأي شخص وكل شخص على الإنترنت ، لذلك من غير المحتمل أن يكون هذا الخطأ متاحًا بشكل مباشر ويمكن تشغيله بواسطة العالم بأسره.
هذا أقل دراماتيكية من Log4Shell ، حيث يمكن ، من الناحية النظرية على الأقل ، تشغيل الخطأ من خلال حركة مرور الشبكة المرسلة إلى أي خادم تقريبًا على الشبكة والذي حدث للاستفادة من رمز تسجيل Log4J ، بما في ذلك الأنظمة مثل خوادم الويب التي كان من المفترض أن أن تكون متاحة للجمهور.
ماذا ستفعلين.. إذًا؟
- التصحيح بأسرع ما يمكن. الإصدارات المتأثرة تشمل على ما يبدو عمليات إصدار VMware للسجلات 8.10.2 ، الذي يحتاج إلى التحديث إلى 8.12 ؛ ونكهة منتج قديمة معروفة باسم الإصدار 4.x من VMware Cloud Foundation، الذي يحتاج إلى التحديث إلى الإصدار 4.5 أولاً ، ثم الترقية إلى VMware Aria Operations لـ Logs 8.12.
- إذا لم تتمكن من التصحيح ، فقم بقطع الوصول إلى خدمات AOfL الخاصة بك بقدر ما تستطيع. حتى إذا كان هذا غير مريح إلى حد ما لفريق عمليات تكنولوجيا المعلومات لديك ، فإنه يمكن أن يقلل بشكل كبير من خطر وصول المحتال الذي لديه بالفعل موطئ قدم في مكان ما في شبكتك إلى خدمات AOfL الخاصة بك وإساءة استخدامها ، وبالتالي زيادة وصولهم غير المصرح به وتوسيع نطاقه.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/04/21/vmware-patches-break-and-enter-hole-in-logging-tools-update-now/
