مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به سومین حمله مهاجمان سایبری به کتابخانه Log۴j درکمتر از یکماه اعلام کرد: این آسیب پذیری مدیران امنیتی IT سازمانها را دچار سردرگمی کرده است.
به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتا، با وجود ترمیم دو ضعف امنیتی در کتابخانه Log۴j در ۲۵ روز گذشته، سومین آسیبپذیری این کتابخانه، بنیاد تولید کننده آن و مدیران امنیتی IT سازمانها را دچار دردسر و سردرگمی کرده است.
کتابخانه log۴j یکی از کتابخانه های محبوب مدیریت log برنامه است.
از آنجاییکه این کتابخانه در بسیاری از سرویسهای ابری و سرورها تعبیهشده است، سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد.
بخش قابلتوجهی از نرمافزارهای سازمانی، برنامههای تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، به شدت آسیبپذیر هستند.
ضعف امنیتی کتابخانه Log۴j به مهاجمان سایبری اجازه میدهد تا اسکریپتهای مخرب را دانلود و اجرا کرده و امکان کنترل از راه دور سیستم را به طور کامل برای هکرها فراهم میکند؛ ازاینرو، شرکت آپاچی نسخه Log۴j ۲.۱۵.۰ را برای ترمیم آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.
این باگ بهعنوان یک حمله منع سرویس Denial of Service) – بهاختصار DoS) نیز شناخته میشود. این ضعف امنیتی، از نوع Infinite Recursion است و بر تمامی نسخههای Log۴j و حتی نسخه دوم منتشرشده در ۲۵ روز گذشته تأثیر میگذارد.
برای ضعف امنیتی جدید کتابخانه Log۴j، شدت ۷.۵ از ۱۰ و درجه اهمیت بالا گزارششده است.
شرکتهای بیت دیفندر و مایکروسافت نیز تلاشهای متعدد مهاجمان سایبری با استفاده از باگ Log۴Shell را برای استقرار باجافزار روی سیستمهای آسیبپذیر گزارش کردهاند و مایکروسافت تصریح کرده که مهاجمان در حال انتشار باجافزار Khonsari روی سرور Minecraft هستند.
بنیاد نرمافزاری آپاچی (Apache Software Foundation) در پی کشف سومین ضعف امنیتی در کتابخانه Log۴j، با نامگذاری این آسیب پذیری امنیتی به شناسه CVE-۲۰۲۱-۴۵۱۰۵، نسخه ۲.۱۷.۰ - را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.
این سومین نسخه ترمیم شده کتابخانه Log۴j در ۲۵ روز گذشته است.
کارشناسان حوزه امنیت سایبری مرکز مدیریت راهبردی افتا با توجه به تأکیدهای مکرر بنیاد نرمافزاری آپاچی، از مدیران امنیتی IT سازمانها و زیرساختهای حیاتی خواستهاند تا در اولین فرصت، کتابخانه Log۴j را در سیستمهای سازمانهای خود به نسخه ۲.۱۷.۰، ارتقا دهند.
اطلاعات تخصصی و فنی درباره این ضعف جدید امنیتی در کتابخانه Log۴j، اطلاعات دو آسیب پذیری قبلی این کتابخانه و توصیهنامه امنیتی بنیاد نرمافزاری آپاچی در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.
مرکز مدیریت راهبردی افتا از کارشناسان، متخصصان و مدیران IT دستگاههای دارای زیر ساخت حیاتی خواسته است تا ضمن مطالعه دقیق خبر تخصصی مربوط به سومین ضعف امنیتی در کتابخانه Log۴j، بلافاصله نسبت به ترمیم این ضعف امنیتی و به روز کردن آن در سیستمها و سرویسهای ابری سازمان خود اقدام کنند.