چرا باید نگران Log4j، آسیبپذیری خطرناک تأثیرگذار تقریبا بر کل اینترنت باشیم؟
آسیبپذیری خطرناک جدیدی در حوزهی امنیت سایبری کشف شده است که تقریبا تمام اینترنت را متأثر میکند و باعث شده است شمار درخورتوجهی از شرکتها ، از مؤسسههای مالی گرفته تا نهادهای دولتی، در تقلا برای پچکردن سیستمهایشان باشند تا مجرمان با بهرهگیری از آسیبپذیری اشارهشده حملهی سایبری ترتیب ندهند.
براساس گزارش یاهو فایننس، آسیبپذیری جدید که با نام Log4j شناخته میشود، روی نوعی نرمافزار متنباز لاگین تأثیر میگذارد. این نرمافزار به توسعهدهندگان امکان میدهد بفهمند نحوهی عملکرد نرمافزارشان چگونه است و به شرکتها برای پیداکردن باگهای احتمالی یا مشکلاتی در عملکرد نرمافزارها کمک میکند.
بااینحال، Log4j که بخشی از نرمافزار ارائهشدهی بنیاد آپاچی (نهادی متنباز) محسوب میشود، ازلحاظ تئوری به هکرها کمک میکند کنترل کامپیوترها و شبکههای سازمانهایی را در دست بگیرند که در حال استفاده از نرمافزار مذکور هستند.
پچهای مربوط به آسیبپذیری Log4j منتشر شدهاند؛ باوجوداین، نکتهی مهمتر پیادهسازی این پچها در سیستمها است. سازمانهای خصوصی و دولتی که مشغول استفاده از نرمافزار بنیاد آپاچی هستند، سابقهی درخشانی در بهروزرسانی سریع سیستمهایشان ندارند.
با مسئلهای بسیار جدی مواجه هستیم
جاستین کپس، دانشیار مدرسهی مهندسی تندن دانشگاه نیویورک، به یاهو فایننس میگوید با مسئلهای «بسیار جدی» مواجه هستیم و ماهیت آسیبپذیری بهگونهای است که میتواند بخشهای متفاوت متعددی از نرمافزار را متأثر کند.
نگرانی اصلی این است که هکرها از Log4j بهمنظور در دستگرفتن کنترل تمامی سیستمهای پچنشده بهره ببرند و آنها را بهعنوان سیستم خودشان بهکار کنند. متخصصان حوزهی امنیت میگویند Log4j میتواند ابزارهای لازم را مهیا کند تا مجرمان سایبری کارهایی نظیر سرقت دادههای کاربران و کنترلکردن زیرساختهای دنیای واقعی را انجام دهند.
بهگفتهی کارشناسان، Log4j به دو دلیل خطرناک است: ۱. نرمافزار بنیاد آپاچی بهطور بسیار گسترده استفاده میشود؛ ۲. نحوهی بهرهگیری مجرمان سایبری از این آسیبپذیری. هرب لین، پژوهشگر ارشد مرکز امنیت و همکاری بینالمللی دانشگاه استنفورد میگوید:
اگر شما آسیبپذیری را داشته باشید و من از آن استفاده کنم، میتوانم کد خودم را روی سیستمتان اجرا کنم. این یعنی انگار من در حال استفاده از دستگاه شما هستم و اکنون میتوانم تمام کارهایی را انجام دهم که شما میتوانید انجامشان دهید.
بهادعای لین، هکرها میتوانند ایمیلها را بدزدند، فایلها را تخریب کنند، باجافزار را نصب کنند و کارهای دیگری انجام دهند. بااینحال، آسیبهای احتمالی ناشی از Log4j به اینجا ختم نمیشود. هرب لین ادامه میدهد:
اکنون میتوانم کنترل ژنراتوری را در دست بگیرم که سیستمتان به آن متصل است… این مشکل میلیونها سیستم را در سراسر دنیا تحتتأثیر قرار میدهد.
مشکل بزرگ دیگر این است که شما بهعنوان کاربر نمیدانید شرکتهایی که به آنها برای حفاظت از فایلهایتان اطمینان دارید، در زمان سریع برای نصب پچها اقدام میکنند یا خیر. کپس در بخشی از سخنانش میگوید:
اگر باگی در مایکروسافت وُرد وجود داشته باشد، شاید بتوانم بگویم که از وُرد استفاده نمیکنم؛ بنابراین، نگران این موضوع نیستم. باوجوداین، دربارهی Log4j ممکن است اصلا ندانید که نرمافزار کجا استفاده میشود.
براساس اطلاعیهی جدید مایکروسافت، هکرها درحالحاضر ازطریق آسیبپذیری Log4j بیشتر مشغول اسکنکردن سیستمها هستند. این یعنی هکرها در تلاشاند بفهمند قربانیهای احتمالی آسیبپذیرند یا خیر. البته شماری از هکرها از همین حالا از Log4j برای انجام حملهی سایبری استفاده میکنند و کارهایی مثل نصب ماینر رمزارز روی دستگاه قربانیها، سرقت دادهها و… انجام میدهند.
مایکروسافت ادعا میکند گروههایی در ترکیه، چین، ایران و کرهشمالی نیز در حال توسعهی ابزارهایی بهمنظور استفاده از آسیبپذیری Log4j هستند. همچنین، شماری از گروههای ایرانی و چینی از Log4j بهمنظور تقویت توان خود در حوزهی حملهی سایبری استفاده میکنند.
بهرهگیری هکرها از Log4j آغاز شده است
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحدهی آمریکا به آژانسهای فدرال غیرنظامی دستور داده است سیستمهایشان را پچ کنند. این نهاد که زیر نظر وزارت امنیت میهن فعالیت میکند، به شرکای غیرفدرال نیز توصیه کرده است چنین کاری انجام دهند.
برطرفکردن آسیبپذیریهایی نظیر Log4j نیازمند این است که شرکتها برای دانلود پچ مناسب اقدام کنند؛ اما پیادهسازی بهروزرسانی زمانبر است. یکی از دلایلی که باعث زمانبربودن ماجرا میشود، این است که شرکتها باید مطمئن شوند بهروزرسانی جدید نرمافزارهای خودشان را تحتتأثیر قرار ندهد. دیگر موضوع مهم این است که ما بهعنوان کاربر عملا هیچ کاری نمیتوانیم انجام دهیم؛ زیرا Log4j آسیبپذیریای نیست که اکثر کاربران بتوانند آن را رفع کنند.
از سرقت دادهها تا کنترل کامل سیستمهای کامپیوتری، آسیبپذیری Log4j در کمین سیستمهای متصل به اینترنت است. نکتهی بدتر؟ کاری از دست ما کاربران برنمیآید.