اشکال مهم نرم افزاری «اینترنت را به آتش می کشد» — RT World News

کارشناسان امنیت سایبری هشداری را درباره نقص حیاتی ناشناخته قبلی در یک ابزار نرم‌افزاری رایج که به طور بالقوه به هکرها اجازه می‌دهد میلیون‌ها دستگاه متصل به اینترنت را در معرض خطر قرار دهند، به صدا درآورده‌اند.

گسلی که با نام Log4Shell شناخته می‌شود، به‌عنوان خطا توصیف شده است “بزرگترین و بحرانی ترین آسیب پذیری دهه گذشته” – که آن را در رقابت برای جایگاهی در میان بزرگترین اشکالات در تاریخ محاسبات مدرن قرار می دهد. محققان هشدار داده اند که این نقص روی سرورهایی که توسط غول های فناوری مانند مایکروسافت، اپل، آمازون و توییتر اجرا می شوند، تأثیر می گذارد.

اولین نشانه در مورد سوء استفاده در سایت هایی مشاهده شد که میزبان سرورهای بازی آنلاین بسیار محبوب مایکروسافت Minecraft بودند. مارکوس هاچینز، محقق امنیتی بریتانیایی که به دلیل توقف حمله بدافزار WannaCry شناخته می‌شود، در توییتی نوشت که ظاهراً برخی از کاربران بازی قبلاً از این نقص برای اجرای برنامه‌ها از راه دور بر روی رایانه‌های سایر کاربران استفاده می‌کردند. “به سادگی یک پیام کوتاه را در جعبه چت قرار دهید.”

ادامه مطلب


اسرائیل رئیس

این آسیب‌پذیری که در «log4j» – یک ابزار گزارش‌دهی متن‌باز که توسط بنیاد نرم‌افزار آپاچی توسعه‌یافته است، قرار دارد – اولین بار در ۲۴ نوامبر توسط غول فناوری چینی علی‌بابا گزارش شد. سپس بنیاد شدت مشکل را 10 در مقیاس یک تا 10 ارزیابی کرد. با این حال، این نقص تنها روز پنجشنبه به طور عمومی آشکار شد.

نرم افزار ثبت توسط سرویس های وب آمازون و سایر ارائه دهندگان سرور ابری و همچنین شبکه های صنعتی و دولتی استفاده می شود. Logging به فرآیندی اشاره دارد که در آن برنامه‌ها یک برگه در حال اجرا در مورد فعالیت‌هایی که انجام داده‌اند را نگه می‌دارند که بعداً می‌تواند برای بررسی خطاها بررسی شود. تقریباً هر سیستم امنیتی شبکه از یک فرآیند ورود به سیستم استفاده می کند که به مقیاس مشکل اشاره می کند.

با توجه به اینکه هکرها داشتند “کاملاً مسلح” آدام مایرز، معاون ارشد اطلاعات در شرکت امنیت سایبری Crowdstrike، اندکی پس از افشای آن، به AP گفت که “اینترنت در حال حاضر در آتش است” همانطور که کارشناسان برای اصلاح این نقص در حالی که ابزارهای جدیدی برای بهره برداری از آن توزیع می شد، رقابت می کردند.

اگرچه یک اصلاح امنیتی برای ابزار log4j منتشر شده است، Log4Shell در طول مدت زمانی که طول می کشد تا اطمینان حاصل شود که تمام ماشین های آسیب پذیر به روز می شوند، یک تهدید باقی خواهد ماند.