واجه السوق التقني تحدياً صعباً الأسبوع الماضي، بعد اكتشاف تشين زهاوجون، وهي باحثة أمنية بقطاع الأمن المعلوماتي في الخدمات السحابية لشركة "علي بابا" Alibaba، ثغرة Log4Shell الخطرة، والتي تصيب إصدار المكتبة البرمجية واسعة الاستخدام Log4j 2، مما وضع مواقع الويب والخدمات الإلكترونية وتطبيقات الموبايل على المحك.

وتتمثل الثغرة المكتشفة حديثاً في تسهيل قيام المخترقين بالنفاذ داخل الخوادم، التي تستخدم الإصدار القديم من المكتبة البرمجية، مما يسمح لهم بالتحكم في إعدادات ضبط المكتبة ورسائل تسجيل الأعطال التقنية، وبالتالي يصبح من اليسير تشغيل أكواد برمجية خبيثة على خوادم الضحايا دون علمهم، وكل ذلك يجري عن بعد.

وأشارت منظمة Apache Software، مطورة إطار العمل الخاص بالمكتبة البرمجية المتعلقة بلغة جافا البرمجية Log4j، إلى أنها بالفعل قامت بإطلاق إصدار جديد من مكتبتها، ويحمل رقم Log 2.15.0 والذي يقوم بتعطيل استغلال الثغرة وكافة الإعدادات والمتغيرات، التي تسمح للمخترقين باستعمالها لشن هجمات ضد مستخدمي المكتبة البرمجية.

وأطلقت المنظمة الإصدار الجديد مطلع ديسمبر الجاري، بعد أسبوع واحد من إبلاغها بالثغرة من جانب باحثة "علي بابا".

وتم تقييم الثغرة بحصولها على 10 درجات على مقياس لخطورة الثغرات الأمنية المكون من 10 درجات، ما يعتبر أعلى درجة، الأمر الذي يعكس مدى حساسية وخطورة الثغرة Log4Shell، والتي تم تصنيفها من جانب خبراء الأمن المعلوماتي بأنها ضمن أسوأ ثغرات في تاريخ السوق التقني.

هجمات فورية

وعلى الرغم من سرعة مطورة المكتبة البرمجية المصابة في إصدار الحل البرمجي، إلا أن المشكلة الحقيقية كانت تكمن في سرعة قيام العناصر الإجرامية الإلكترونية بشن هجمات فورية، تستغل استمرار آلاف الشركات والمطورين حول العالم في استخدام الإصدارات القديمة المصابة.

كانت فرق فيروسات الفدية في مقدمة مستغلّي الثغرة الجديدة، إذ شنت مجموعة هجمات الفدية Conti هجوماً شرساً وسريعاً، بداية من 13 ديسمبر الجاري، على خوادم شركة vCenter، والمعروفة بإصابتها بثغرة Log4Shell، إذ قامت مجموعة المخترقين بالسيطرة على الخوادم المصابة، والدخول في جولة متعمقة داخل بيانات الشركات من عملاء VMWare، بحسب ما نشره موقع ذا ريكورد.

رسم توضيحي على شاشة "LED" يُظهر ما يبدو أنه عملية اختراق إلكتروني، 5 يوليو 2021 - REUTERS

رسم توضيحي على شاشة "LED" يُظهر ما يبدو أنه عملية اختراق إلكتروني، 5 يوليو 2021 - REUTERS

وكشفت شركة مايكروسوفت عن وصول أصابع مجموعات اختراق معروفة بدعم حكومات لها إلى استغلال Log4Shell ضد أهداف الشركة، وكانت على قمة تلك الحكومات كل من كوريا الشمالية وإيران وتركيا والصين.

وأوضحت الشركة الأميركية أن مجموعتي "هافنيوم" الصينية و"فوسفوروس" الإيرانية، هما من أهم مجموعات الاختراق التي بدأت في استخدام الثغرة الجديدة.

تأخر المرتبات

وكانت من الضربات الموجعة التي تسببت فيها الثغرة الجديدة، الهجوم الذي تعرضت إليه خوادم شركة Kronos، إذ تأثرت خدماتها المتعلقة بإدارة شؤون الموظفين وسجلات حضورهم وانصرافهم لدى عملائها من شركات قطاع الأعمال، مما جعل من العسير على إدارات الموارد البشرية، احتساب مستحقات الموظفين المالية، بحسب بيان "كرونوس".

وقد نشرت الشركة توصية لعملائها، بضرورة قيام أقسام الموارد البشرية لديهم باتباع أساليب بديلة لحساب ساعات عمل الموظفين، وكذلك إدارة الرواتب الشهرية.

وعلى الرغم من أن خدماتها تعتمد بشكل رئيسي على إطار "جافا" البرمجي، لم تعترف الشركة بأن السبب وراء خلل خوادمها هو ثغرة Log4Shell، ولكنها وجهت أصابع الاتهام نحو تعرضها لهجوم فدية قوي أثر على أداء خدماتها، مؤكدة تعاونها الكامل مع خبراء الأمن المعلوماتي والسلطات القانونية.

ثغرة في حل الثغرة

وفي الوقت الذي سارعت فيه الشركات نحو تثبيت تحديث Log4J 2.15.0، نشر باحثو شركة Praetorian الأمنية تحذيراً بشأن عدم تقديم التحديث لحل كامل للثغرة، إذ أن التحديث يحمل بين طياته ثغرة تتسبب في وجود قصور في أداء مهمته لعلاج Log4Shell.

وأشار الباحثون إلى أن التحديث الأول غير مكتمل، وغير قادر على العمل مع بعض الإعدادات غير الافتراضية، ويفتح المجال للمخترقين لتنفيذ هجمات من نوع رفض الخدمة DDoS، مما يسهل مهاجمة الخدمات المستهدفة وجعلها تسقط عن شبكة الإنترنت تماماً، ويصعب الوصول إليها من جانب مستخدميها.

وأوصى باحثو "باريوتوريان" بضرورة أن يأتي إصدار Log4J 2.16.0 المنتظر بحل مشكلة أنماط بحث الرسائل وتعطيل ميزة JNDI افتراضياً، مما يغلق كافة احتمالات تشغيل الثغرة الأولى أو الثانية.