لودر سایت

به تازگی یک آسیب‌پذیری روز صفر جدید در کتابخانه معروف Log4j لاگ جاوا کشف شده است که می‌تواند بر Minecraft، iCloud، Steam و بسیاری از محصولات نرم‌افزاری دیگر که از زبان جاوا در کد خود استفاده می‌کنند، تأثیر بگذارد.

این نوع آسیب‌پذیری که با ‌عنوان CVE-2021-44228 شناخته می‌شود، بسیار خطرناک است، زیرا می‌توان از آن برای اجرای هر کدی سوء استفاده کرد و نیز به مهارت‌های بسیار کمی برای مهاجم نیاز دارد. از آنجایی که Log4j آپاچی تقریباً در همه برنامه‌های جاوا وجود دارد، مهندسان نرم‌افزار به اقدام فوری نیاز دارند تا از قربانی شدن در حملات احتمالی جلوگیری کنند.

برای پیش زمینه داشتن از آسیب‌پذیری در این زمینه باید گفت آسیب‌پذیری مشابهی در هک Equifax در سال ۲۰۱۷ استفاده شد که منجر به افشای اطلاعات شخصی ۱۴۹.۷ میلیون نفر به صورت آنلاین گردید.

مسئله اینجاست که این اکسپلویت جدید می‌تواند حتی خطرناک‌تر از موارد قبلی باشد، چرا که Log4j به طور گسترده در بیشتر اکوسیستم جاوا مورد استفاده قرار گرفته است.

طبق یک پست وبلاگ جدید ازSonatype، اخبار کدهای مخرب Log4j زمانی منتشر شد که یک آسیب‌پذیری Proof of Concept (PoC)  در GitHub منتشر و عمومی شد.

این آسیب‌پذیری، Apache Log4j را در نسخه‌های ۲.۰ و ۲.۱۴۱ تحت تأثیر قرار می‌دهد و در زمان نگارش این مطلب، قبلاً گزارش‌هایی مبنی بر سوء استفاده موفقیت‌آمیز آن در برخی از ران تایم‌های جاوا ۱۱ نیز گزارش شده است. خوشبختانه آپاچی راه حلی برای این مشکل منتشر کرده است، اما اکنون سازندگان نرم افزار نیز باید آن را برای محافظت از مشتریان خود نصب کنند.

log4j-exploit-2.jpg

این آسیب‌پذیری بر هر برنامه‌ای که از کتابخانه Log4j برای ثبت گزارش استفاده می‌کند، از جمله بازی‌های محبوبی مانند Minecraft  که Sonatype قبلاً شواهدی مبنی بر سوء استفاده از آن با استفاده از عملکرد چت داخلی خود دیده است، تأثیر می‌گذارد.

درست مانند سایر حملات اجرای کد از راه دور در گذشته، شواهد محکمی نیز وجود دارد مبنی بر اینکه هکرها و سایر مجرمان سایبری شروع به اسکن انبوه اینترنت برای یافتن برنامه‌هایی کرده‌اند که این آسیب پذیری در آن‌ها هنوز اصلاح نشده است.

از این رو سازمان‌هایی که از Log4j در نرم افزار خود استفاده می‌کنند باید فوراً آن را به آخرین نسخه ۲.۱۵ که از Maven Central در دسترس است ارتقا دهند.

مدیر ارشد فناوری Sonatype، برایان فاکس، توضیحات بیشتری در مورد آسیب‌پذیری Log4j و تأثیر بالقوه آن در سراسر جهان در ایمیلی به رسانه TechRadar Pro ارائه کرد و گفت:

این آسیب‌پذیری جدید Log4j احتمالاً یکی دیگر از رویدادهای «حافظه فلش‌لامپ» (flashbulb memory) در جدول زمانی آسیب‌پذیری‌های مهم خواهد بود. این پرکاربردترین چارچوب لاگینگ در اکوسیستم جاوا است. دامنه برنامه‌های تحت تأثیر آن با آسیب‌پذیری مجموعه مشترک ۲۰۱۵ (CVE 2015-7501) قابل مقایسه است زیرا مهاجمان می‌توانند با خیال راحت فرض کنند که اهداف احتمالاً دارای این آسیب پذیری هستند.

وی همچنین اذعان داشت که تاثیر این حمله با آسیب‌پذیری‌های قبلی Struts مانند آسیب‌پذیری که Equifax  را تحت تاثیر قرار داد قابل مقایسه است، زیرا حملات می‌توانند از راه دور، به‌صورت ناشناس و بدون مجوز ورود انجام شوند و منجر به یک سوء استفاده از راه دور می‌شوند.

 

نویسنده پست: haaminco

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

error: دوست گرامی لطفا در باز انتشار محتوای سایت ذکر نام منبع را لحاظ فرمائید !!!!!