کارشناسان امنیت سایبری هشداری را درباره نقص حیاتی ناشناخته قبلی در یک ابزار نرمافزاری رایج که به طور بالقوه به هکرها اجازه میدهد میلیونها دستگاه متصل به اینترنت را در معرض خطر قرار دهند، به صدا درآوردهاند.
گسلی که با نام Log4Shell شناخته میشود، بهعنوان خطا توصیف شده است “بزرگترین و بحرانی ترین آسیب پذیری دهه گذشته” – که آن را در رقابت برای جایگاهی در میان بزرگترین اشکالات در تاریخ محاسبات مدرن قرار می دهد. محققان هشدار داده اند که این نقص روی سرورهایی که توسط غول های فناوری مانند مایکروسافت، اپل، آمازون و توییتر اجرا می شوند، تأثیر می گذارد.
اولین نشانه در مورد سوء استفاده در سایت هایی مشاهده شد که میزبان سرورهای بازی آنلاین بسیار محبوب مایکروسافت Minecraft بودند. مارکوس هاچینز، محقق امنیتی بریتانیایی که به دلیل توقف حمله بدافزار WannaCry شناخته میشود، در توییتی نوشت که ظاهراً برخی از کاربران بازی قبلاً از این نقص برای اجرای برنامهها از راه دور بر روی رایانههای سایر کاربران استفاده میکردند. “به سادگی یک پیام کوتاه را در جعبه چت قرار دهید.”
در مورد Minecraft، مهاجمان میتوانند به سادگی با چسباندن یک پیام کوتاه در جعبه چت، اجرای کد از راه دور را در سرورهای Minecraft دریافت کنند.
– مارکوس هاچینز (@MalwareTechBlog) 10 دسامبر 2021
ادامه مطلب
این آسیبپذیری که در «log4j» – یک ابزار گزارشدهی متنباز که توسط بنیاد نرمافزار آپاچی توسعهیافته است، قرار دارد – اولین بار در ۲۴ نوامبر توسط غول فناوری چینی علیبابا گزارش شد. سپس بنیاد شدت مشکل را 10 در مقیاس یک تا 10 ارزیابی کرد. با این حال، این نقص تنها روز پنجشنبه به طور عمومی آشکار شد.
نرم افزار ثبت توسط سرویس های وب آمازون و سایر ارائه دهندگان سرور ابری و همچنین شبکه های صنعتی و دولتی استفاده می شود. Logging به فرآیندی اشاره دارد که در آن برنامهها یک برگه در حال اجرا در مورد فعالیتهایی که انجام دادهاند را نگه میدارند که بعداً میتواند برای بررسی خطاها بررسی شود. تقریباً هر سیستم امنیتی شبکه از یک فرآیند ورود به سیستم استفاده می کند که به مقیاس مشکل اشاره می کند.
با توجه به اینکه هکرها داشتند “کاملاً مسلح” آدام مایرز، معاون ارشد اطلاعات در شرکت امنیت سایبری Crowdstrike، اندکی پس از افشای آن، به AP گفت که “اینترنت در حال حاضر در آتش است” همانطور که کارشناسان برای اصلاح این نقص در حالی که ابزارهای جدیدی برای بهره برداری از آن توزیع می شد، رقابت می کردند.
اگرچه یک اصلاح امنیتی برای ابزار log4j منتشر شده است، Log4Shell در طول مدت زمانی که طول می کشد تا اطمینان حاصل شود که تمام ماشین های آسیب پذیر به روز می شوند، یک تهدید باقی خواهد ماند.