آسیب‌ پذیری برنامه‌های متداول

Apache Vulnerability Decemer 2021
تعداد بازدید: 106

آسیب‌ پذیری در Log4j

آسیب‌ پذیری در Apache Log4j این روزها سر و صدای زیادی به پا کرده است. Log4j کتابخانه‌ای بر مبنای جاوا است که در بسیاری از نرم افزارهای تولید شده توسط اپل، سیسکو، تسلا، آمازون و … وجود دارد. این نقص فنی به قدری مهم است که نمره ۱۰ از ۱۰ امتیاز CVSS را به دست آورده است. همچنین لقب خطرناک‌ترین آسیب‌پذیری سال ۲۰۲۱ را به خود اختصاص داده است.

سوءاستفاده از این آسیب‌پذیری نیاز به مهارت بالایی ندارد و شروع اکسپلویت می‌تواند تنها از طریق ارسال یک رشته متن در چت باکس آغاز شود. همچنین PoC این آسیب‌پذیری به صورت عمومی منتشر شده است. از سویی Apache Log4j در طیف گسترده‌ای از نرم افزارها به کار رفته است. مهاجم بعد از بارگذاری سربار آلوده بر روی سیستم آسیب‌پذیر می‌تواند کدهای مورد نظرش را از راه دور و بدون نیاز به عملیات احراز هویت اجرا کند. نتیجه این عملیات گرفتن کنترل سیستم قربانی می‌باشد!

در همین راستا شرکت CloudFlare اعلام کرده است، تنها در یک دقیقه در روز جمعه ۱۰ دسامبر ۲۰٫۰۰۰ درخواست مخرب برای سوءاستفاده از این نقص فنی را شناسایی و مسدود ساخته است!