بایدن کارخانههای نیمهرسانا را از بازبینیهای محیطزیستی مستثنی کرد
جو بایدن، رئيس جمهور آمریکا، روز جمعه قانونی را به امضا رساند که براساس آن…
۱۲ مهر ۱۴۰۳
۲۱ آذر ۱۴۰۰
زمان مطالعه : ۴ دقیقه
مسئولان امنیت سایبری شرکتهای بزرگ تکنولوژی در تلاش برای رفع نقصی در یکی از پرطرفدارترین نرمافزارهای اینترنتی هستند. متخصصان امنیتی هشدار دادهاند که این نقص میتواند به دور جدیدی از حملات سایبری منتهی شود.
به گزارش پیوست، به نقل از والاستریت ژورنال، این باگ مخفی در یکی نرمافزارهای سرور به نام Log4j پنهان شده است. طبق اعلام شرکتهای بزرگ فناوری، غولهایی مثل آمازون، توییتر و سیسکو در حال بررسی موضوع هستند.
آمازون، بزرگترین ارائهدهنده خدمات ابری جهان، در یک هشدار امنیتی میگوید: «ما در حال بررسی این موضوع و در تلاش برای رفع آن هستیم.»
آژانس امنیت سایبری و زیرساخت امنیتی (CISA) در سازمان امنیت داخلی در مورد این نقطهضعف هشدار داد و خواستار اقدام سریع شرکتها شد. جن استرلی، رئیس CISA، افزود: «تصریح میکنیم که این نقطهضعف خطری جدی است. تنها با همکاری بخشهای دولتی و خصوصی میتوان تاثیرات احتمالی آن را به حداقل رساند.»
ارائهدهندگان نرمافزاری از جمله IBM، ردهت (Red Hat) و ویامویر (VMware)، که Log4j را در محصولات خود جای دادهاند، میگویند در صدد پچ و رفع این مساله هستند.
آرون پارتونی از شرکت امنیتی راندوری میگوید، این یکی از جدیترین نقاط ضعفی است که در این مدت دیدهام
به گفته آرون پارتونی، محقق اصلی شرکت امنیتی Randori، از آنجا که استفاده از این باگ آسان و جلوگیری از آن دشوار است، در سالهای پیش رو هکرها میتوانند از Log4j برای نفوذ به شبکههای شرکتی استفاده کنند.
این نقص به هکرها اجازه میدهد تا فایلهای لاگی را که در واقع فعالیت کاربران در سرور را دنبال میکنند به ابزار حمله خود تبدیل کرده و ماشین را به دانلود نرمافزار غیرمجاز وا دارند و در نتیجه وارد شبکه قربانی شوند.
این مساله ماه گذشته به تیم توسعه Log4j گزارش شده بود. به گفته رالف گوئرز، یکی از کدنویسان داوطلب در تیم توسعه، این تیم که بخشی از بنیاد نرمافزار آپاچی (Apache Software Foundation) محسوب میشود، نرمافزار خود را به رایگان در اختیار کاربران اینترنت قرار میدهد.
گوئر میگوید: «مساله بسیار جدی است. افراد باید برای تعمیر آن به فکر بهروزرسانی باشند.» Log4j برای دنبال کردن فعالیتهای کاربران روی سرورها استفاده میشود تا در نتیجه تیمهای امنیتی یا توسعهدهندگان نرمافزار در آینده بتوانند از این آمار استفاده کنند.
از آنجا که Log4j رایگان است، مشخص نیست چند سرور تحت تاثیر این نقص قرار میگیرند اما این نرمافزار به گفته گوئر میلیونها بار دانلود شده است.
این نخستین باری نیست که یک نرمافزار متنباز باعث نگرانیهای امنیتی شده است. در ۲۰۱۴ نیز کاربران سراسر جهان به دلیل مشکل دیگری در OpenSSL مجبور شدند رمز عبور خود را تغییر دهند. این نرمافزار ناشناس هم به دست یک گروه داوطلب طراحی و ارائه شده است.
هکرها با استفاده از باگ Log4j تلاش کردند به سرورهای بازی ماینکرافت از شرکت مایکروسافت دسترسی پیدا کنند. اما خیلی زود چنین تلاشهایی گستردهتر شد و تمام اینترنت را فرا گرفت. مایکروسافت در بیانیهای به کاربران ماینکرافت توصیه کرد برای رفع این باگ نرمافزار خود را ارتقا دهند.
شرکت امنیتی Check Point Software Technologies اعلام کرد طی کمتر از ۲۴ ساعت، شاهد بیش از صد هزار تلاش برای استفاده از این باگ بوده است که حدود نیمی از این اقدامات را تبهکاران هکری انجام دادهاند.
کاس ون کوتن، محقق هلندی، میگوید این باگ را در سرورهای اپل هم پیدا کرده و وجود باگ در واقع امکان کدنویسی در شبکه اپل را به مهاجم میدهد. کوتن میگوید که فوراً این مشکل را به اپل گزارش کرده است.
او اضافه میکند: «بدیهی است که یک هکر از این باگ استفاده تبهکارانه کند.» سخنگوی اپل به درخواست والاستریت برای اظهارنظر در این باره پاسخی نداده است.
کارسون اولت، محققی دیگر، میگوید مشاورانی که با شرکت امنیتی او یعنی Black Mirage همکاری میکنند موفق به شناسایی باگ روی سیستم دیگر شرکتها از جمله توییتر و لینکدین متعلق به مایکروسافت شدهاند.
یکی از سخنگویان توییتر روز جمعه از طریق ایمیل گفت: «تیمهای ما مشغول بررسی موضوع هستند، اما در حال حاضر هیچ جزئیاتی برای ارائه وجود ندارد.» سخنگوی لینکدین هم در پیامی گفته: «با اینکه ما نیز همانند تیمهای امنیتی بسیاری از شرکتها برای رفع مشکل تلاش میکنیم اما مشکل فعالی را تجربه نکردیم.»
به گفته راین مکگیهان، مشاور مستقل امنیتی که قبلا رئیس بخش امنیت فیسبوک بود، از آنجا که سرورها دادههای متعددی را در خود ثبت میکنند، هکرها به واسطه این حملات میتوانند به عمق شبکههای شرکتی نفوذ کنند. او میافزاید: «حمله موفق چیزی شبیه به حفر تونل فرار است. هکرها نمیتوانند مطمئن باشند از کجا سر درمیآورند.»
اما به گفته متخصصان، با وجود شناسایی نقص Log4j در وبسایتهای تکنولوژی، بسیاری از آنها فرایندهایی دارند که از اجرای نرمافزار و ورود به این شرکتها جلوگیری میکند.
به گفته یکی از سخنگویان شرکت سیسکو، این شرکت مشغول بررسی ۱۵۰ محصول خود در پی پیدایش باگ Log4j است. تا اینجای کار، سیسکو سه محصول آسیبپذیر یافته و ۲۳ محصول هم در این زمینه آسیبپذیر نیستند.
منبع: WSJ