غول‌های تکنولوژی در مورد باگ نرم‌افزاری Log4j هشدار دادند

به گزارش پیوست، به نقل از وال‌استریت ژورنال، این باگ مخفی در یکی نرم‌افزارهای سرور به نام Log4j پنهان شده است. طبق اعلام شرکت‌های بزرگ فناوری، غول‌هایی مثل آمازون، توییتر و سیسکو در حال بررسی موضوع هستند.

آمازون، بزرگ‌ترین ارائه‌دهنده خدمات ابری جهان، در یک هشدار امنیتی می‌گوید: «ما در حال بررسی این موضوع و در تلاش برای رفع آن هستیم.»

آژانس امنیت سایبری و زیرساخت امنیتی (CISA) در سازمان امنیت داخلی در مورد این نقطه‌ضعف هشدار داد و خواستار اقدام سریع شرکت‌ها شد. جن استرلی، رئیس CISA، افزود: «تصریح می‌کنیم که این نقطه‌ضعف خطری جدی است. تنها با همکاری بخش‌های دولتی و خصوصی می‌توان تاثیرات احتمالی آن را به حداقل رساند.»

ارائه‌دهندگان نرم‌افزاری از جمله IBM، ردهت (Red Hat) و وی‌ا‌م‌ویر (VMware)، که Log4j را در محصولات خود جای داده‌اند، می‌گویند در صدد پچ و رفع این مساله هستند.

به گفته آرون پارتونی، محقق اصلی شرکت امنیتی Randori، از آنجا که استفاده از این باگ آسان و جلوگیری از آن دشوار است، در سال‌های پیش رو هکرها می‌توانند از Log4j برای نفوذ به شبکه‌های شرکتی استفاده کنند.

این نقص به هکرها اجازه می‌دهد تا فایل‌های لاگی را که در واقع فعالیت کاربران در سرور را دنبال می‌کنند به ابزار حمله خود تبدیل کرده و ماشین را به دانلود نرم‌افزار غیرمجاز وا دارند و در نتیجه وارد شبکه قربانی شوند.

این مساله ماه گذشته به تیم توسعه Log4j گزارش شده بود. به گفته رالف گوئرز، یکی از کدنویسان داوطلب در تیم توسعه، این تیم که بخشی از بنیاد نرم‌افزار آپاچی (Apache Software Foundation) محسوب می‌شود، نرم‌افزار خود را به رایگان در اختیار کاربران اینترنت قرار می‌دهد.

گوئر می‌گوید: «مساله بسیار جدی است. افراد باید برای تعمیر آن به فکر به‌روزرسانی باشند.» Log4j برای دنبال کردن فعالیت‌های کاربران روی سرورها استفاده می‌شود تا در نتیجه تیم‌های امنیتی یا توسعه‌دهندگان نرم‌افزار در آینده بتوانند از این آمار استفاده کنند.

از آنجا که Log4j رایگان است، مشخص نیست چند سرور تحت تاثیر این نقص قرار می‌گیرند اما این نرم‌افزار به گفته گوئر میلیون‌ها بار دانلود شده است.

این نخستین باری نیست که یک نرم‌افزار متن‌باز باعث نگرانی‌های امنیتی شده است. در ۲۰۱۴ نیز کاربران سراسر جهان به دلیل مشکل دیگری در OpenSSL مجبور شدند رمز عبور خود را تغییر دهند. این نرم‌افزار ناشناس هم به دست یک گروه داوطلب طراحی و ارائه شده است.

هکرها با استفاده از باگ Log4j تلاش کردند به سرورهای بازی ماین‌کرافت از شرکت مایکروسافت دسترسی پیدا کنند. اما خیلی زود چنین تلاش‌هایی گسترده‌تر شد و تمام اینترنت را فرا گرفت. مایکروسافت در بیانیه‌ای به کاربران ماین‌کرافت توصیه کرد برای رفع این باگ نرم‌افزار خود را ارتقا دهند.

شرکت امنیتی Check Point Software Technologies اعلام کرد طی کمتر از ۲۴ ساعت، شاهد بیش از صد هزار تلاش برای استفاده از این باگ بوده است که حدود نیمی از این اقدامات را تبهکاران هکری انجام داده‌اند.

کاس ون کوتن، محقق هلندی، می‌گوید این باگ را در سرورهای اپل هم پیدا کرده و وجود باگ در واقع امکان کدنویسی در شبکه اپل را به مهاجم می‌دهد. کوتن می‌گوید که فوراً این مشکل را به اپل گزارش کرده است.

او اضافه می‌کند: «بدیهی است که یک هکر از این باگ استفاده تبهکارانه کند.» سخنگوی اپل به درخواست وا‌ل‌استریت برای اظهارنظر در این باره پاسخی نداده است.

کارسون اولت، محققی دیگر، می‌گوید مشاورانی که با شرکت امنیتی او یعنی Black Mirage همکاری می‌کنند موفق به شناسایی باگ روی سیستم‌ دیگر شرکت‌ها از جمله توییتر و لینکدین متعلق به مایکروسافت شده‌اند.

یکی از سخنگویان توییتر روز جمعه از طریق ایمیل گفت: «تیم‌‌های ما مشغول بررسی موضوع هستند، اما در حال حاضر هیچ جزئیاتی برای ارائه وجود ندارد.» سخنگوی لینکدین هم در پیامی گفته: «با اینکه ما نیز همانند تیم‌های امنیتی بسیاری از شرکت‌ها برای رفع مشکل تلاش می‌کنیم اما مشکل فعالی را تجربه نکردیم.»

به گفته راین مک‌گیهان، مشاور مستقل امنیتی که قبلا رئیس بخش امنیت فیس‌بوک بود، از آنجا که سرورها داده‌های متعددی را در خود ثبت می‌کنند، هکرها به واسطه این حملات می‌توانند به عمق شبکه‌های شرکتی نفوذ کنند. او می‌افزاید: «حمله موفق چیزی شبیه به حفر تونل فرار است. هکرها نمی‌توانند مطمئن باشند از کجا سر درمی‌آورند.»

اما به گفته متخصصان، با وجود شناسایی نقص Log4j در وب‌سایت‌های تکنولوژی، بسیاری از آنها فرایند‌هایی دارند که از اجرای نرم‌افزار و ورود به این شرکت‌ها جلوگیری می‌کند.

به گفته یکی از سخنگویان شرکت سیسکو، این شرکت مشغول بررسی ۱۵۰ محصول خود در پی پیدایش باگ Log4j است. تا اینجای کار، سیسکو سه محصول آسیب‌پذیر یافته و ۲۳ محصول هم در این زمینه آسیب‌پذیر نیستند.

منبع: WSJ