به تازگی یک آسیبپذیری روز صفر جدید در کتابخانه معروف Log4j لاگ جاوا کشف شده است که میتواند بر Minecraft، iCloud، Steam و بسیاری از محصولات نرمافزاری دیگر که از زبان جاوا در کد خود استفاده میکنند، تأثیر بگذارد.
این نوع آسیبپذیری که با عنوان CVE-2021-44228 شناخته میشود، بسیار خطرناک است، زیرا میتوان از آن برای اجرای هر کدی سوء استفاده کرد و نیز به مهارتهای بسیار کمی برای مهاجم نیاز دارد. از آنجایی که Log4j آپاچی تقریباً در همه برنامههای جاوا وجود دارد، مهندسان نرمافزار به اقدام فوری نیاز دارند تا از قربانی شدن در حملات احتمالی جلوگیری کنند.
برای پیش زمینه داشتن از آسیبپذیری در این زمینه باید گفت آسیبپذیری مشابهی در هک Equifax در سال 2017 استفاده شد که منجر به افشای اطلاعات شخصی 149.7 میلیون نفر به صورت آنلاین گردید.
مسئله اینجاست که این اکسپلویت جدید میتواند حتی خطرناکتر از موارد قبلی باشد، چرا که Log4j به طور گسترده در بیشتر اکوسیستم جاوا مورد استفاده قرار گرفته است.
طبق یک پست وبلاگ جدید ازSonatype، اخبار کدهای مخرب Log4j زمانی منتشر شد که یک آسیبپذیری Proof of Concept (PoC) در GitHub منتشر و عمومی شد.
این آسیبپذیری، Apache Log4j را در نسخههای 2.0 و 2.141 تحت تأثیر قرار میدهد و در زمان نگارش این مطلب، قبلاً گزارشهایی مبنی بر سوء استفاده موفقیتآمیز آن در برخی از ران تایمهای جاوا 11 نیز گزارش شده است. خوشبختانه آپاچی راه حلی برای این مشکل منتشر کرده است، اما اکنون سازندگان نرم افزار نیز باید آن را برای محافظت از مشتریان خود نصب کنند.
این آسیبپذیری بر هر برنامهای که از کتابخانه Log4j برای ثبت گزارش استفاده میکند، از جمله بازیهای محبوبی مانند Minecraft که Sonatype قبلاً شواهدی مبنی بر سوء استفاده از آن با استفاده از عملکرد چت داخلی خود دیده است، تأثیر میگذارد.
درست مانند سایر حملات اجرای کد از راه دور در گذشته، شواهد محکمی نیز وجود دارد مبنی بر اینکه هکرها و سایر مجرمان سایبری شروع به اسکن انبوه اینترنت برای یافتن برنامههایی کردهاند که این آسیب پذیری در آنها هنوز اصلاح نشده است.
از این رو سازمانهایی که از Log4j در نرم افزار خود استفاده میکنند باید فوراً آن را به آخرین نسخه 2.15 که از Maven Central در دسترس است ارتقا دهند.
مدیر ارشد فناوری Sonatype، برایان فاکس، توضیحات بیشتری در مورد آسیبپذیری Log4j و تأثیر بالقوه آن در سراسر جهان در ایمیلی به رسانه TechRadar Pro ارائه کرد و گفت:
این آسیبپذیری جدید Log4j احتمالاً یکی دیگر از رویدادهای «حافظه فلشلامپ» (flashbulb memory) در جدول زمانی آسیبپذیریهای مهم خواهد بود. این پرکاربردترین چارچوب لاگینگ در اکوسیستم جاوا است. دامنه برنامههای تحت تأثیر آن با آسیبپذیری مجموعه مشترک 2015 (CVE 2015-7501) قابل مقایسه است زیرا مهاجمان میتوانند با خیال راحت فرض کنند که اهداف احتمالاً دارای این آسیب پذیری هستند.
وی همچنین اذعان داشت که تاثیر این حمله با آسیبپذیریهای قبلی Struts مانند آسیبپذیری که Equifax را تحت تاثیر قرار داد قابل مقایسه است، زیرا حملات میتوانند از راه دور، بهصورت ناشناس و بدون مجوز ورود انجام شوند و منجر به یک سوء استفاده از راه دور میشوند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت