کمیته رکن چهارم – چند سرویس محبوب از جمله آیکلاود اپل، توییتر، کلاودفلر، ماینکرفت و استیم به خاطر باگی که در یک کتابخانه مشهور ثبت لاگ در جاوا کشف شده، در معرض خطر آسیبپذیری روز صفر Log4Shell قرار گرفتهاند.
آسیبپذیری جاوا که تحت عنوان Log4Shell معرفی شده، اولین بار توسط «چن ژاوجون» از علیبابا کشف شد. این باگ در ابزار متن باز Log4j از شرکت آپاچی وجود دارد که در بسیاری از اپلیکیشنها، وبسایتها و سرویسها استفاده میشود. این آسیبپذیری نخستین بار در بازی ماینکرفت مشاهده شد، اما شرکت امنیتی LunaSec هشدار داده که سرویسهای بسیار بیشتر تحت تاثیر قرار دارند.
شرکت LunaSec میگوید همه کسانی که از Apache Struts استفاده میکنند، به احتمال زیاد با این آسیبپذیری درگیرند. شرکتهایی که تاکنون تایید شده نسبت به Log4Shell آسیبپذیری دارند شامل اپل، آمازون، کلاودفلر، توییتر، استیم، بایدو، تنسنت، NetEase و Elastic هستند. با این حال، پیشبینی میشود که صدها یا حتی هزاران شرکت دیگر تحت تاثیر این آسیبپذیری باشند.
آسیبپذیری Log4Shell هزاران سیستم را به خطر میاندازد
شرکت کلاودفلر در بیانیهای اعلام کرد که سیستمهای خود را بهروز کرده تا از حملات احتمالی جلوگیری کند. این شرکت هنوز هیچ مدرکی مبنی بر استفاده از Log4Shell برای نفوذ به سیستمهای خود پیدا نکرده است. «رابرت جویس» رئیس واحد امنیت سایبری سازمان امنیت مالی آمریکا (NSA) هم تایید کرده که GHIDRA به این باگ دچار است. GHIDRA یک ابزار متن باز مهندسی معکوس است که توسط NSA توسعه داده شده.
گروه پاسخگویی حوادث رایانهای (CERT) در نیوزلند و دویچه تلکام، و سرویس نظارتهای تحت وب Greynoise همگی هشدار دادهاند که هکرها به دنبال سوء استفاده از Log4Shell هستند. Greynoise میگوید حدود ۱۰۰ عامل مختلف در تلاشند تا با این آسیبپذیری حملات خود را اجرا کنند.
بنیاد نرمافزار آپاچی از طریق یک آپدیت اضطراری وصله حل آسیبپذیری روز صفر Log4j را منتشر کرده است. بهعلاوه، دستورالعملهایی ارائه شده تا افرادی که نمیتوانند بلافاصله سیستمهای خود را آپدیت کنند، خطرات احتمالی را کاهش دهند.
منبع : دیجیاتو
