أشرس هجوم منذ 10 سنوات.. كيف تؤثر ثغرة "Log4shell" على هاتفك وحاسوبك؟

حين يتعلق الأمر بأخبار التقنية، لا صوت يعلو خلال العامين الأخيرين على صوت الثغرات الأمنية والهجمات السيبرانية. وفي الأيام الأخيرة، تتدافع فِرَق الأمن المعلوماتي في الشركات الكبيرة والصغيرة على حدٍّ سواء لإصلاح ثغرة غير معروفة من قبل تُسمى "لوج فور شيل" (Log4Shell)، التي لديها القدرة على السماح للقراصنة باختراق ملايين الأجهزة عبر الإنترنت.

تُصيب الثغرة ذائعة الصيت حاليا مكتبة برمجية واسعة الاستخدام بلغة جافا تُعرف بـ "Log4j"، وهي تُسهِّل للمتسللين التحكم في إعدادات ضبط المكتبة ورسائل الأعطال التقنية، بما يُمكِّنهم من تشغيل أكواد برمجية خبيثة على خوادم الضحايا دون علمهم.

لكن ما الذي يجعل هذه الثغرة خطيرة على وجه الخصوص؟ بحسب محمد عبد الباسط، خبير الأمن المعلوماتي ومؤسس شركة "Seekurity"، فإن المعضلة الرئيسية في هذه الثغرة "تتعلق بقدرتها على تنفيذ الأوامر عن بُعد (Remote Code Execution) في إطار عمل مفتوح المصدر مثل (Log4j)، يُستخدم لعمليات تسجيل البيانات التي تفيد في وقت لاحق أصحاب المشاريع أو المطورين أو العاملين على بعض الخدمات"، وهنا يظهر السؤال الأهم: أين يكمن الخبر؟

أخطر الضربات

كما أشرنا، فإن "Log4j" هي مكتبة أو إطار عمل مبني على لغة البرمجة الشهيرة جافا، وبحسب ما صرَّح جون جراهام كومينغ الرئيس التقني في "كلاود فلير" (Cloudflare) لموقع "The Verge": "هناك قدر هائل من برامج جافا المتصلة بالإنترنت. عندما أنظر إلى الوراء على مدى السنوات العشر الماضية، هناك اختراقان آخران فقط يمكنني التفكير فيهما بالشدة نفسها، وهما هجوم "Heartbleed" الذي سمح بالحصول على معلومات من الخوادم التي كان ينبغي أن تكون آمنة، وهجوم "Shellshock" الذي سمح للمتسللين بتشغيل التعليمات البرمجية على جهاز بعيد".

لاستغلال الثغرة الأمنية، على المهاجم أن يجبر التطبيق على حفظ سلسلة خاصة من الأحرف في السجل. ونظرا لأن التطبيقات تُسجِّل روتينيا مجموعة واسعة من الأحداث، مثل الرسائل المرسلة والمستلمة من قِبَل المستخدمين، أو تفاصيل أخطاء النظام، فمن السهل استغلال الثغرة الأمنية وتشغيلها بعدة طرق.

تُعتبر هجمات تُسمى "DDoS" أو الخروج من الخدمة على وجه الخصوص مصدر قلق كبيرا في هذا الصدد، حيث يمكن أن يَسمح الاستغلال للمخترقين بتنزيل وتثبيت برامج ثم التحكم الكامل في جيش من شبكات الروبوتات تُسمى "بوت نت"، وهي مجموعة ضخمة (يبلغ تعدادها بالآلاف وقد يصل إلى الملايين) من الأجهزة التي اختُرِقت عن طريق الإنترنت كل واحد منها يسمى بوت تخدم ما يُسمى بـ "سيد البوت" (Boot master)، الذي يستخدم قناة أوامر وتحكم لإدارة شبكته وتنفيذ هجماته، وهكذا يصبح جهازك أداة لهجمات المخترق المقبلة.

يمكن لمشغلي هجمات "DDoS" بعد ذلك توجيه جهودهم إلى تدمير البنية التحتية الحيوية، بدءا من المرافق إلى شبكة الطاقة. وعلى نطاق أكثر محدودية، يمكن استهداف تجار التجزئة قبل موسم الأعياد، وهو الوقت الذي يشتهر فيه الناس بالتشتت والتعب ويكونون أكثر عُرضة لارتكاب أخطاء أمنية.

من وجهة نظر المتخصصين، فإن اكتشاف هذه الثغرة الأمنية لا يقل أهمية عن لحظة اكتشاف فوكوشيما. قبل عشر سنوات، تسبَّب زلزال وموجة مد تالية في انهيار محطة فوكوشيما للطاقة النووية، تاركا أثرا لا يزال باقيا إلى اليوم. وبالمثل، فإن الاستغلال المبكر لهذه الثغرة يمكن أن يتطور بمرور الوقت ليأخذ شكل هجمات أكثر تعقيدا على الأنظمة الأكثر حساسية.

الأمر الصادم أن الثغرة ليست حديثة الاكتشاف. رجوعا بالتاريخ للخلف، نجد أن الثغرة كانت موجودة في خدمة "Log4j" منذ عام 2013، لكن الإبلاغ عنها تأخر إلى نوفمبر/تشرين الثاني الماضي حين رُصدت لأول مرة بواسطة تشين زهاوجون، الباحث في قطاع الأمن المعلوماتي في شركة "علي بابا" (Alibaba)، قبل أن تُنشر علانية في 9 ديسمبر/كانون الأول الحالي. وبسبب خطورة الثغرة، منحتها مؤسسة "أباتشي" (Apache) المسؤولة عن المكتبة البرمجية درجة خطورة 10/10، ولكن للأسف بحلول ذلك الوقت، كان العديد من الشركات والمواقع والخدمات على الإنترنت عاجزة عن سد الثغرة التي أصابت مئات الملايين من الأجهزة حول العالم، وهذا لأن الثغرة نفسها معقدة جدا في حلها، كما أن لها بدائل عديدة وطرق تتخطى من خلالها الأكواد الخاصة بإصلاحها، بحسب عبد الباسط.

أثر الهجوم

يُعلِّق عبد الباسط على الهجوم في حوار له مع "ميدان" قائلا: "أبرز الشركات والخدمات التي كانت مصابة بالثغرة على سبيل المثال: خدمات أمازون السحابية (Amazon AWS)، خدمات (Cloudflare) السحابية، خدمة (Apple iCloud) السحابية، خدمة بث الألعاب "ستيم" (Steam)، العملاق الصيني "تنسنت" (Tencent)، وخدمة "كيو كيو" (QQ)، وحتى الألعاب لم تسلم من الثغرة ومنها لعبة "ماينكرافت" (Minecraft) الشهيرة". وأردف: "يوجد مخترقون يستغلون الثغرة في اختراق الخوادم المصابة وتحويلها إما إلى زومبي داخل شبكة بوت نت كبيرة، وإما جعل الخوادم تقوم بتعدين عملات رقمية مشفرة من خلال نظام تشغيل خاص بتعدين عملات معينة الذي يستنزف موارد الخوادم، وبالتالي يربح المخترق من العملية".

تُمثِّل هذه الثغرة نوعا مختلفا من التحدي للمدافعين ضد الاختراق، تقتصر العديد من نقاط الضعف في البرامج على منتج بعينه أو نظام محدد مثل الثغرات الأمنية "بروكسي لوجون" (ProxyLogon) و"بروكسي شيل" (ProxyShell) في "مايكروسوفت إكستشينج" (Microsoft Exchange)، وهو منتج يختص في مجال المراسلة والبرامج التعاونية من إنتاج مايكروسوفت. في تلك الحالة، بمجرد أن يعرف المدافعون البرامج المعرضة للخطر يمكنهم التحقق منها وتصحيحها، لكن ثغرة "Log4j" هي مكتبة تستخدمها العديد من المنتجات، لذلك يمكن أن تكون موجودة في أحلك أركان البنية التحتية للمؤسسة، على سبيل المثال أي برنامج طُوِّر داخليا.

بمجرد أن يؤمِّن المهاجم الوصول إلى الشبكة، يمكن أن يتبع ذلك أي إصابة في هذه الشبكة. لذلك، جنبا إلى جنب مع تحديث البرنامج الذي أُصدِر بالفعل من قِبَل "أباتشي" (Apache) تحتاج فِرَق أمان تكنولوجيا المعلومات إلى إجراء مراجعة شاملة للنشاط على هذه الشبكة، لاكتشاف وإزالة أي آثار للمتطفلين.

يُضيف عبد الباسط في حواره مع "ميدان": "أُصدر حل للثغرة في يوم 6 ديسمبر/كانون الأول (قبل 3 أيام من نشرها علانية) ولكن شر البلية ما يُضحك، إذ اكتُشِفت ثغرة أخرى لها المعرف الكودي رقم CVE-2021-45046 في الخدمة نفسها، ولكن أثر الثغرة كان أخف من الأثر الأول لأنه يسمح فقط بتنفيذ هجوم حجب الخدمة". كما اكتُشِفت ثغرة ثالثة وبشدة وخطورة الأولى نفسها، وهنا يظهر السؤال: كيف يمكن لتلك الثغرات أن تؤثر عليك بوصفك مستخدما عاديا؟

ماذا عن جهازي؟

يُجيب عبد الباسط في تصريح لـ "ميدان": "بالطبع الضرر على المستخدم العادي سيكون نتيجة إهمال الشركات للثغرة وعدم سدها، لأنها ستمنح -على سبيل المثال- للمهاجمين الفرصة لتنفيذ أكواد ضارة على خدمات هذه الشركات التي تحتوي على بيانات المستخدمين الحساسة، وبالتالي سرقتها، أو حتى اختراق أجهزة المستخدمين أنفسهم عن طريق سيناريوهات لا حصر لها".

ويُضيف عبد الباسط قائلا: "بالرغم من ذلك، فالضرر الأكبر لا يقع على المستخدم العادي مباشرة، لكنه يقع بشكل أكبر على الشركات ومن ثم على المستخدم، والنصيحة التي على المستخدم اتباعها هي تحديث أي تطبيقات يستخدمها على جهازه تستخدم إطار عمل "Log4j"، وهذا ليتفادى أي عملية استغلال للثغرة". الخبر الجيد أنه حتى مع وجود الثغرة، فإن الضرر على المستخدم العادي سيكون محدودا، وهذا لأن الثغرة تشترط قابلية وصول المستغل (المهاجم) إلى مخدم الويب الذي يستخدم "Log4j" مباشرة، وهذا ليس طبيعيا في سيناريو المستخدم العادي، ولكن دائما الاحتياط واجب والوقاية خير من العلاج.

بالرغم من أن "Log4j" مفتوح المصدر فإن الثغرة موجودة فيه منذ عام 2013، ولم يكتشفها أحد حتى شهر نوفمبر/تشرين الثاني 2021، وهذا إن دل على شيء فيدل على أن الثغرات موجودة في كل المنتجات ولم تسلم منها برمجيات المصادر المفتوحة كما الحال في المصادر المغلقة، والاختلاف الوحيد هو أن سرعة الاستجابة وقابلية إصلاح الثغرة وتكاتف المطورين لحل المشكلات يكون أسرع في المصادر المفتوحة. أخيرا، يُضيف عبد الباسط: "الثغرات دوما موجودة في كل شيء، ولكن تنتظر مَن يكتشفها".

ستظهر دوما ثغرات جديدة، وسيبحث المتسللون دوما عن عمليات استغلال جديدة. تحتاج المنظمات إلى تقييم إستراتيجيتها الشاملة لأمن التطبيقات، والاجتهاد في تحسين إجراءاتها الأمنية من أجل الحفاظ على بقائها وقدراتها التنافسية، في عالم صارت الثغرات والهجمات السيبرانية فيه عملا يوميا معتادا.

المصدر : الجزيرة