امنیت

اینترنت و شبکه

فناوری اطلاعات

December 27, 2021
16:18 دوشنبه، 6ام دیماه 1400
کد خبر: 131778

سومین حمله مهاجمان سایبری به کتابخانه Log۴j در کمتر از یک ماه

 
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) اعلام‌کرد: با وجود ترمیم ۲ ضعف امنیتی در کتابخانه Log۴j در ۲۵ روز گذشته، سومین آسیب‌پذیری این کتابخانه، بنیاد تولیدکننده آن و مدیران امنیتی IT سازمان‌ها را دچار دردسر و سردرگمی کرده است. 
 
به گزارش مرکز مدیریت راهبردی افتا، از آنجایی‌که کتابخانه Log۴j (یکی از کتابخانه‌های محبوب مدیریت) در بسیاری از سرویس‌های ابری و سرورها تعبیه‌ شده است، سوء استفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، بخش قابل‌توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و انواع مختلف سرورهای آپاچی در برابر سوء استفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، به‌شدت آسیب‌پذیر هستند. 
 
بنابر خبر افتا، ضعف امنیتی کتابخانه Log۴j به مهاجمان سایبری اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا کرده و امکان کنترل از راه دور سیستم را به‌طور کامل برای هکران فراهم می‌کند. ازاین‌رو، شرکت آپاچی نسخه Log۴j ۲.۱۵.۰ را برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
 
این باگ به‌عنوان یک حمله منع سرویس ( Denial of Service – به‌اختصار DoS) نیز شناخته می‌شود. این ضعف امنیتی، از نوع Infinite Recursion است و بر همه نسخه‌های Log۴j و حتی نسخه دوم منتشرشده در ۲۵ روز گذشته تأثیر می‌گذارد.
 
برای ضعف امنیتی جدید کتابخانه Log۴j، شدت ۷.۵ از ۱۰ و درجه اهمیت «بالا» گزارش‌ شده است.
 
شرکت‌های بیت دیفندر و مایکروسافت نیز تلاش‌های متعدد مهاجمان سایبری با استفاده از باگ Log۴Shell را برای استقرار باج‌افزار بر روی سیستم‌های آسیب‌پذیر گزارش کرده‌اند و مایکروسافت تصریح کرده است که مهاجمان در حال انتشار باج‌افزار Khonsari بر روی سرور Minecraft هستند.
 
بنیاد نرم‌افزاری آپاچی (Apache Software Foundation)  در پی کشف سومین ضعف امنیتی در کتابخانه Log۴j،  با نام گذاری این آسیب پذیری امنیتی به شناسه CVE-۲۰۲۱-۴۵۱۰۵،  نسخه ۲.۱۷.۰ – را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.
 
این سومین نسخه ترمیم شده کتابخانه Log۴j در ۲۵ روز گذشته است. 
 
کارشناسان حوزه امنیت سایبری مرکز مدیریت راهبردی افتا با توجه به تاکیدهای مکرر بنیاد نرم‌افزاری آپاچی، از مدیران امنیتی IT  سازمان‌ها و زیرساخت‌های حیاتی خواسته‌اند تا در نخستین فرصت، کتابخانه Log۴j را در سیستم‌های سازمان‌های خود به نسخه ۲.۱۷.۰ ، ارتقا دهند.
 
مرکز مدیریت راهبردی افتا از کارشناسان، متخصصان و مدیران IT دستگاه‌های دارای زیرساخت حیاتی خواسته است تا ضمن مطالعه دقیق خبر تخصصی مربوط به سومین ضعف امنیتی در کتابخانه Log۴j، بلافاصله نسبت به ترمیم این ضعف امنیتی و به روز کردن  آن در سیستم‌‎ها و سرویس‌های ابری سازمان خود اقدام کنند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.