مرکز افتا ریاست جمهوری اعلام کرد سومین حمله مهاجمان سایبری به کتابخانه Log4j در کمتر از یک ماه مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا)، اعلام کرد: با وجود ترمیم دو ضعف امنیتی در کتابخانه Log4j در ۲۵ روز گذشته، سومین آسیبپذیری این کتابخانه، بنیاد تولیدکننده آن و مدیران امنیتی IT سازمانها […]
مرکز افتا ریاست جمهوری اعلام کرد
سومین حمله مهاجمان سایبری به کتابخانه Log4j در کمتر از یک ماه
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا)، اعلام کرد: با وجود ترمیم دو ضعف امنیتی در کتابخانه Log4j در ۲۵ روز گذشته، سومین آسیبپذیری این کتابخانه، بنیاد تولیدکننده آن و مدیران امنیتی IT سازمانها را دچار دردسر و سردرگمی کرده است. به گزارش مناقصهمزایده به نقل از مرکز مدیریت راهبردی افتا، از آنجاییکه کتابخانه Log4j (یکی از کتابخانههای محبوب مدیریت) در بسیاری از سرویسهای ابری و سرورها تعبیه شده است، سوءاستفاده از این ضعف امنیتی نیازی به تخصص فنی سطح بالا و احراز هویت ندارد، بخش قابلتوجهی از نرمافزارهای سازمانی، برنامههای تحت وب و انواع مختلف سرورهای آپاچی در برابر سوءاستفاده از این ضعف امنیتی و حملات RCE مبتنی بر آن، بهشدت آسیبپذیر هستند. بنابر خبر افتا، ضعف امنیتی کتابخانه Log4j به مهاجمان سایبری اجازه میدهد تا اسکریپتهای مخرب را دانلود و اجرا کرده و امکان کنترل از راه دور سیستم را بهطور کامل برای هکران فراهم میکند. ازاینرو، شرکت آپاچی نسخه Log4j 2.15.0 را برای ترمیم آسیبپذیری CVE-۲۰۲۱-۴۴۲۲۸ منتشر کرد. این باگ بهعنوان یک حمله منع سرویس Denial of Service – بهاختصار DoS نیز شناخته میشود. این ضعف امنیتی، از نوع Infinite Recursion است و بر همه نسخههای Log4j و حتی نسخه دوم منتشرشده در ۲۵ روز گذشته تأثیر میگذارد. برای ضعف امنیتی جدید کتابخانه Log4j، شدت ۷٫۵ از ۱۰ و درجه اهمیت «بالا» گزارش شده است. شرکتهای بیت دیفندر و مایکروسافت نیز تلاشهای متعدد مهاجمان سایبری با استفاده از باگ Log۴Shell را برای استقرار باجافزار بر روی سیستمهای آسیبپذیر گزارش کردهاند و مایکروسافت تصریح کرده است که مهاجمان در حال انتشار باجافزار Khonsari بر روی سرور Minecraft هستند. بنیاد نرمافزاری آپاچی (Apache Software Foundation) در پی کشف سومین ضعف امنیتی در کتابخانه Log۴j، با نامگذاری این آسیبپذیری امنیتی به شناسه CVE-۲۰۲۱-۴۵۱۰۵، نسخه ۲٫۱۷٫۰ – را برای این کتابخانه منبع باز مبتنی بر Java منتشر کرده است. این سومین نسخه ترمیم شده کتابخانه Log4j در ۲۵ روز گذشته است. کارشناسان حوزه امنیت سایبری مرکز مدیریت راهبردی افتا، با توجه به تأکیدهای مکرر بنیاد نرمافزاری آپاچی، از مدیران امنیتی IT سازمانها و زیرساختهای حیاتی خواستهاند تا در نخستین فرصت، کتابخانه Log۴j را در سیستمهای سازمانهای خود به نسخه ۲٫۱۷٫۰، ارتقاء دهند. مرکز مدیریت راهبردی افتا از کارشناسان، متخصصان و مدیران IT دستگاههای دارای زیرساخت حیاتی خواسته است تا ضمن مطالعه دقیق خبر تخصصی مربوط به سومین ضعف امنیتی در کتابخانه Log۴j، بلافاصله نسبت به ترمیم این ضعف امنیتی و بهروز کردن آن در سیستمها و سرویسهای ابری سازمان خود اقدام کنند.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.