آسیب پذیری جدید تازه کشف شده در آپاچی Apache log4j

محققان امنیت سایبری اخیراً یک آسیب‌پذیری بسیار شدید روز صفر را در کتابخانه لاگ آپاچی log4j کشف کرده‌اند. هکرها می‌توانند از این اکسپلویت برای کنترل کامل دستگاه‌ها و سرورهایی که همه‌چیز را از iCloud و Amazon گرفته تا Twitter و Minecraft: Java Edition اجرا می‌کنند استفاده کنند.

آسیب‌پذیری Apache log4j به حدی شدید است که حملات مفهومی موفق شدند، مستقیماً از چت درونِ بازی در Minecraft: Java Edition اجرا شوند. علاوه بر Minecraft تعداد زیادی از اپلیکیشن ها و سرویس‌های پرکاربرد مانند پلتفرم‌های معروف توییتر، vulnerable در کنار Steam و …. از Apache log4j استفاده می‌کنند.

خوشبختانه ورژن ۲٫۱۵٫۰ Apache log4j یک پچ جهت ترمیم این آسیب‌پذیری منتشر کرده است. در این پچ با تغییر برخی از مقادیر  log4j2.formatMsgNoLookups از “غلط” به “صحیح” این نقص ایمنی برطرف شده است. سرورهایی که هنوز از این به‌روزرسانی استفاده نکرده‌اند هنوز در معرض آسیب‌پذیری هستند.

هکرهای سراسر جهان به‌سرعت از این نقص ایمنی استفاده کردند

هکرها در سرتاسر جهان به‌سرعت از این اکسپلویت استفاده کرده‌اند. سازمان‌های ناظر امنیت سایبری جهانی مانند CERT گزارش می‌دهند که هکرها فعالانه برای سو استفاده روز صفر به دنبال سرورهایی هستند که به Apache log4j نسخه ۲٫۱۵٫۰ ارتقاء نداده‌اند.

جهت برطرف نمودن این آسیب‌پذیری می‌توان از پچ جدید منتشرشده توسط Apacheاستفاده نمود.

وب سرور آپاچی Apache

Apache همانند Nginx یک نرم افزار کاربردی بسیار محبوب است. این برنامه با بیش از ۶۰٪ سهم در بازار وب سرورهای تجاری، پرکاربردترین برنامه وب سرور در جهان است. در واقع Apache پرکاربردترین برنامه وب سرور در سیستم عاملهای Unix و Linux است اما از طرفی تقریباً در همه سیستم عاملها مانند Windows، OS X، OS / 2 و غیره نیز قابل استفاده است. کلمه Apache از نام محلی قبیله ای در امریکا با نام آپاچی گرفته شده است که به مهارت در جنگ و استراتژی سازی معروف هستند.

آپاچی یک برنامه وب سرور مدولار و مبتنی بر فرآیند است که با هر اتصال همزمان یک رشته (thread) جدید ایجاد می‌کند. بسیاری از thread‌ها به صورت ماژول‌های جداگانه کامپایل می‌شوند و در نتیجه عملکرد اصلی آن را افزایش می‌دهند و می‌توانند طیف گسترده ای از خدمات (از پشتیبانی از زبان برنامه نویسی سمت سرور گرفته تا مکانیزم احراز هویت) را ارائه دهند.