چگونه آسیب‌پذیری امنیتی Log4J شما را در معرض خطر قرار می‌دهد

2024 نویسنده: Abigail Brown | [email protected]. آخرین اصلاح شده: 2023-12-17 06:46

موارد مهم

• هکرها کدی را ارسال کردند که یک سوء استفاده را در یک کتابخانه ثبت جاوا که به طور گسترده مورد استفاده قرار می گیرد، نشان می دهد.
• کارشناسان امنیت سایبری متوجه اسکن انبوه در سراسر وب به دنبال سرورها و خدمات قابل بهره برداری شدند.

• آژانس امنیت سایبری و امنیت زیرساخت (CISA) از فروشندگان و کاربران خواسته است که نرم افزار و خدمات خود را فوراً اصلاح و به روز کنند.

چشم انداز امنیت سایبری به دلیل آسیب پذیری به راحتی قابل بهره برداری در یک کتابخانه ثبت نام جاوا، Log4j، شعله ور است. این توسط هر نرم‌افزار و سرویس محبوبی استفاده می‌شود و شاید قبلاً روی کاربران روزمره دسک‌تاپ و گوشی‌های هوشمند تأثیر گذاشته است.

کارشناسان امنیت سایبری در حال مشاهده انواع موارد استفاده از سوء استفاده Log4j هستند که در حال حاضر در تاریک وب ظاهر می شود، از سوء استفاده از سرورهای Minecraft گرفته تا مسائل مهم تر که آنها معتقدند می تواند به طور بالقوه بر Apple iCloud تأثیر بگذارد.

جان هاموند، محقق ارشد امنیت در Huntress، از طریق ایمیل به Lifewire گفت: «این آسیب‌پذیری Log4j دارای یک اثر قطره‌ای است و بر تمام ارائه‌دهندگان نرم‌افزار بزرگی که ممکن است از این مؤلفه به عنوان بخشی از بسته‌بندی برنامه‌های خود استفاده کنند، تأثیر می‌گذارد. "جامعه امنیتی برنامه های آسیب پذیری را از دیگر سازندگان فناوری مانند اپل، توییتر، تسلا، [و] Cloudflare، در میان دیگران کشف کرده است. همانطور که ما صحبت می کنیم، صنعت همچنان در حال بررسی سطح وسیع حمله و خطر این آسیب پذیری است."

آتش در سوراخ

آسیب‌پذیری که با نام CVE-2021-44228 ردیابی می‌شود و Log4Shell نامیده می‌شود، دارای بالاترین امتیاز شدت 10 در سیستم امتیازدهی آسیب‌پذیری رایج (CVSS) است.

GreyNoise که ترافیک اینترنت را برای دریافت سیگنال‌های امنیتی مورد تجزیه و تحلیل قرار می‌دهد، برای اولین بار فعالیت این آسیب‌پذیری را در 9 دسامبر 2021 مشاهده کرد. این زمانی بود که اکسپلویت‌های اثبات مفهوم تسلیحاتی (PoCs) ظاهر شدند که منجر به افزایش سریع اسکن و بهره برداری عمومی در 10 دسامبر 2021 و تا آخر هفته.

Log4j به شدت در مجموعه گسترده‌ای از چارچوب‌های DevOps و سیستم‌های فناوری اطلاعات سازمانی و در نرم‌افزارهای کاربر نهایی و برنامه‌های ابری محبوب ادغام شده است.

در توضیح شدت این آسیب‌پذیری، انیرود باترا، یک تحلیلگر تهدید در CloudSEK، از طریق ایمیل به Lifewire می‌گوید که یک عامل تهدید می‌تواند از آن برای اجرای کد روی یک سرور راه دور سوء استفاده کند.

"این حتی بازی‌های محبوبی مانند Minecraft را نیز آسیب‌پذیر کرده است. مهاجم می‌تواند تنها با ارسال باری در چت باکس از آن سوء استفاده کند. نه تنها Minecraft، بلکه سایر سرویس‌های محبوب مانند iCloud [و] Steam نیز آسیب‌پذیر هستند. Batra توضیح داد و افزود که «راه‌اندازی آسیب‌پذیری در آیفون به سادگی تغییر نام دستگاه است."

نوک کوه یخ

شرکت امنیت سایبری Tenable پیشنهاد می کند که از آنجایی که Log4j در تعدادی از برنامه های کاربردی وب گنجانده شده است و توسط انواع سرویس های ابری استفاده می شود، دامنه کامل این آسیب پذیری برای مدتی مشخص نخواهد بود.

این شرکت به یک مخزن GitHub اشاره می کند که سرویس های تحت تأثیر را ردیابی می کند، که در زمان نوشتن حدود سه دوجین تولید کننده و سرویس، از جمله موارد محبوبی مانند Google، LinkedIn، Webex، Blender، و سایر موارد ذکر شده را فهرست می کند.

همانطور که صحبت می کنیم، صنعت همچنان در حال بررسی سطح وسیع حمله و خطر این آسیب پذیری است.

تا کنون، اکثریت قریب به اتفاق فعالیت ها اسکن بوده است، اما فعالیت های بهره برداری و پس از بهره برداری نیز دیده شده است.

مرکز اطلاعات تهدید مایکروسافت می‌نویسد: «مایکروسافت فعالیت‌هایی از جمله نصب استخراج‌کننده‌های سکه، Cob alt Strike برای فعال کردن سرقت اعتبار و جابجایی جانبی، و استخراج داده‌ها از سیستم‌های در معرض خطر را مشاهده کرده است.»

Batten Down the Hatches

پس جای تعجب نیست که به دلیل سهولت بهره برداری و رواج Log4j، اندرو موریس، بنیانگذار و مدیر عامل GreyNoise، به Lifewire می گوید که معتقد است فعالیت های خصمانه طی چند روز آینده افزایش خواهد یافت.

با این حال، خبر خوب این است که آپاچی، توسعه‌دهنده کتابخانه آسیب‌پذیر، وصله‌ای را برای خنثی کردن اکسپلویت‌ها منتشر کرده است. اما اکنون به تک تک سازندگان نرم افزار بستگی دارد که نسخه های خود را برای محافظت از مشتریان خود اصلاح کنند.

Kunal Anand، مدیر ارشد فناوری شرکت امنیت سایبری Imperva، از طریق ایمیل به Lifewire می گوید که در حالی که اکثر کمپین های خصمانه که از این آسیب پذیری سوء استفاده می کنند در حال حاضر به سمت کاربران سازمانی هدایت می شوند، کاربران نهایی باید هوشیار باشند و مطمئن شوند که نرم افزار آسیب دیده خود را به روز می کنند. به محض اینکه وصله ها در دسترس هستند.

این احساس توسط جن ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت (CISA) تکرار شد.

کاربران نهایی به فروشندگان خود متکی خواهند بود، و جامعه فروشندگان باید فوراً طیف گسترده ای از محصولات را با استفاده از این نرم افزار شناسایی، کاهش داده و اصلاح کنند. فروشندگان همچنین باید با مشتریان خود در ارتباط باشند تا اطمینان حاصل شود که کاربران نهایی می دانند. ایسترلی در بیانیه‌ای گفت که محصول آنها حاوی این آسیب‌پذیری است و باید به‌روزرسانی‌های نرم‌افزار را در اولویت قرار دهد.