هشدار افتا به مدیران امنیتی IT سازمان‌ها

به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتا، با وجود ترمیم دو ضعف امنیتی در کتابخانه Log۴j در ۲۵ روز گذشته، سومین آسیب‌پذیری این کتابخانه، بنیاد تولید کننده آن و مدیران امنیتی IT سازمان‌ها را دچار دردسر و سردرگمی کرده است.

کتابخانه log۴j یکی از کتابخانه های محبوب مدیریت log برنامه است.

از آنجایی‌که این کتابخانه در بسیاری از سرویس‌های ابری و سرورها تعبیه‌شده است، سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد.

بخش قابل‌توجهی از نرم‌افزارهای سازمانی، برنامه‌های تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، به شدت آسیب‌پذیر هستند.

ضعف امنیتی کتابخانه Log۴j به مهاجمان سایبری اجازه می‌دهد تا اسکریپت‌های مخرب را دانلود و اجرا کرده و امکان کنترل از راه دور سیستم را به طور کامل برای هکرها فراهم می‌کند؛ ازاین‌رو، شرکت آپاچی نسخه Log۴j ۲.۱۵.۰ را برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد.

این باگ به‌عنوان یک حمله منع سرویس Denial of Service) – به‌اختصار DoS) نیز شناخته می‌شود. این ضعف امنیتی، از نوع Infinite Recursion است و بر تمامی نسخه‌های Log۴j و حتی نسخه دوم منتشرشده در ۲۵ روز گذشته تأثیر می‌گذارد.

برای ضعف امنیتی جدید کتابخانه Log۴j، شدت ۷.۵ از ۱۰ و درجه اهمیت بالا گزارش‌شده است.

شرکت‌های بیت دیفندر و مایکروسافت نیز تلاش‌های متعدد مهاجمان سایبری با استفاده از باگ Log۴Shell را برای استقرار باج‌افزار روی سیستم‌های آسیب‌پذیر گزارش کرده‌اند و مایکروسافت تصریح کرده که مهاجمان در حال انتشار باج‌افزار Khonsari روی سرور Minecraft هستند.

بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) در پی کشف سومین ضعف امنیتی در کتابخانه Log۴j، با نامگذاری این آسیب پذیری امنیتی به شناسه CVE-۲۰۲۱-۴۵۱۰۵، نسخه ۲.۱۷.۰ - را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است.

این سومین نسخه ترمیم شده کتابخانه Log۴j در ۲۵ روز گذشته است.

کارشناسان حوزه امنیت سایبری مرکز مدیریت راهبردی افتا با توجه به تأکیدهای مکرر بنیاد نرم‌افزاری آپاچی، از مدیران امنیتی IT سازمان‌ها و زیرساخت‌های حیاتی خواسته‌اند تا در اولین فرصت، کتابخانه Log۴j را در سیستم‌های سازمان‌های خود به نسخه ۲.۱۷.۰، ارتقا دهند.

اطلاعات تخصصی و فنی درباره این ضعف جدید امنیتی در کتابخانه Log۴j، اطلاعات دو آسیب پذیری قبلی این کتابخانه و توصیه‌نامه امنیتی بنیاد نرم‌افزاری آپاچی در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.

مرکز مدیریت راهبردی افتا از کارشناسان، متخصصان و مدیران IT دستگاه‌های دارای زیر ساخت حیاتی خواسته است تا ضمن مطالعه دقیق خبر تخصصی مربوط به سومین ضعف امنیتی در کتابخانه Log۴j، بلافاصله نسبت به ترمیم این ضعف امنیتی و به روز کردن آن در سیستم‌ها و سرویس‌های ابری سازمان خود اقدام کنند.