کشف آسیب‌پذیری بسیار وحشتناکی در کتابخانه منبع‌ باز log4j

تیم‌های امنیتی در شرکت‌های بزرگ و کوچک در تلاش هستند تا آسیب‌پذیری ناشناخته‌ای به نام Log4Shell را اصلاح کنند. آسیب‌پذیری مذکور این قابلیت را دارد که به هکرها اجازه دهد میلیون‌ها دستگاه را در سراسر اینترنت به خطر بیاندازند.

به‌گزارش ورج، درصورت سوء‌استفاده از آسیب‌پذیری یادشده، امکان اجرای کد از راه دور روی سرورهای آسیب‌پذیر وجود خواهد داشت و مهاجمان می‌توانند از‌طریق آن بدافزار‌ مودنظر خود را وارد سیستم و آن را آلوده کنند. این آسیب‌پذیری در log4j یافت می‌شود؛‌ یعنی همان کتابخانه‌ی منبع‌بازی که اپ‌ها و سرویس‌ها در سراسر اینترنت از آن استفاده می‌کنند.

«ورود به سیستم» فرایندی است که در آن اپ‌ها فهرستی از فعالیت‌های انجام‌‌داده‌شده را نگه می‌دارند تا در‌صورت بروز خطا، بتوان بعدا آن‌ها را بررسی کرد. تقریبا هر سیستم امنیتی شبکه نوعی فرایند ورود به سیستم را اجرا می‌کند که به کتابخانه‌های محبوبی مانند log4j دسترسی بسیار زیادی می‌دهد.

مارکوس هاچینز، محقق امنیتی برجسته‌ای است که به‌ توقف حمله‌ی جهانی بدافزار WannaCry شهرت دارد. وی اعلام کرده است میلیون‌ها اپلیکیشن تحت‌تأثیر این آسیب‌پذیری قرار خواهند گرفت. هاچینز در توییتی نوشت:

میلیون‌ها اپلیکیشن از Log4j برای ورود به سیستم استفاده می‌کنند و تنها کاری که مهاجم باید انجام دهد، این است که اپ را به ثبت رشته‌ کدی خاص وادار کند.

این مسئله برای اولین‌بار در وب‌سایت‌های میزبان سرورهای ماینکرفت مشاهده شد. عده‌ای متوجه شدند مهاجمان می‌توانند با ارسال پیام این آسیب‌پذیری را هدف قرار دهند. شرکت تحلیل امنیتی GreyNoise با انتشار توییتی گزارش داد سرورهای متعددی را شناسایی کرده است که در اینترنت به‌دنبال سیستم‌هایی می‌گردند که دربرابر این آسیب‌پذیری مقاوم نیستند. گفتنی است شرکت امنیتی LunaSec نیز با انتشار پستی ادعا کرد پلتفرم بازی Steam و iCloud اپل قبلا آسیب‌پذیر بوده‌اند؛ البته Valve و اپل بلافاصله به این مسئله پاسخ ندادند.

برای سوءاستفاده از آسیب‌پذیری مذکور، مهاجم باید باعث شود اپلیکیشن رشته‌ی خاصی از کاراکترها را ذخیره کند. از‌آنجا‌‌که اپلیکیشن‌ها معمولا طیف گسترده‌ای از رویدادها را ثبت می‌کنند (مانند پیام‌های ارسال و دریافت‌شده‌ی کاربران یا جزئیات خطاهای سیستم) سوءاستفاده از این آسیب‌پذیری آسان است و می‌تواند به روش‌های مختلفی فعال شود.

جان گراهام کامینگ، مدیر ارشد فناوری Cloudflare، به ورج گفت:

به‌دلیل استفاده‌ی گسترده از جاوا و log4j، این آسیب‌پذیری بسیار جدی و خطرناک است. حجم عظیمی از نرم‌افزار جاوا به اینترنت و سیستم‌های بک‌اند متصل است. وقتی به ‍۱۰ سال گذشته نگاه می‌کنم، تنها دو آسیب‌پذیری مشابه دیگر به ذهنم می‌رسد: یکی Heartbleed که به شما امکان می‌دهد به اطلاعات سرورهایی دسترسی پیدا کنید که باید امن باشد و دیگری Shellshock که به شما امکان اجرای کد روی سیستمی از راه دور را می‌داد.

تنوع فراوان اپلیکیشن‌های آسیب‌پذیر دربرابر این مشکل بدین‌معنی است که حفاظت فایروال به‌تنهایی خطر را از بین نمی‌برد. از نظر تئوری، مهاجمان حتی می‌توانند رشته‌کاراکترهای آلوده را در کد QR پنهان کنند که شرکت تحویل بسته آن را اسکن می‌کند. در این صورت، حتی نیازی نیست که از اینترنت برای انتشار آن استفاده شود و کد QR به‌صورت فیزیکی حامل آن خواهد بود.

ناگفته نماند به‌روزرسانی‌ای برای کتابخانه‌ی log4j منتشر شده است که باعث کاهش صدمات این آسیب‌پذیری می‌شود؛ اما با‌‌‌توجه‌‌‌به زمانی که برای ارتقای همه سیستم‌ها نیاز است، هنوز‌هم Log4Shell تهدیدی جدی به‌حساب می‌آید.