سطح حمله بالقوه Log4Shell همچنان قابل توجه است
Log4Shell که گاهی با استفاده از دسته Log4j به آن اشاره می شود، پس از نام کتابخانه Apache Java که در آن یافت شد، توسط بسیاری از تحلیلگران و کارشناسان امنیتی آسیب پذیری نرم افزار دهه نامیده می شود. این آسیبپذیری در اواخر سال 2021 کشف شد. چهار ماه بعد و دهها هشدار و هشدار بعد از آن، در مورد Log4Shell، چشمانداز فناوری اطلاعات جهانی چقدر امنتر است؟
گزارش Log4Shell خوش بینانه نیست
تیمی از محققان با شرکت امنیتی Rezilion تجزیه و تحلیلی را در تلاش برای تخمین سطح حمله احتمالی سیستمهایی که هنوز در برابر Log4Shell آسیبپذیر هستند، انجام دادند . این آسیبپذیری در نسخه قدیمیتر کتابخانه بسیار محبوب Apache Logging وجود دارد که روی جاوا اجرا میشود. یافته های تیم تحقیقاتی Rezilion دلگرم کننده نبود.
همانطور که می توان انتظار داشت، Rezilion نیز امیدوار بود که به دلیل جریان بی پایان پوشش رسانه ای، مقالات و هشدارهای منتشر شده در پی کشف Log4Shell، اکثریت قریب به اتفاق مواردی که این نرم افزار آسیب پذیر را اجرا می کنند، مدت هاست وصله شده اند. با این حال، یافتههای تیم آنطور که انتظار داشتند مثبت نبود.
گزارش Rezilion در مورد تجزیه و تحلیل سطح حمله احتمالی، وضعیت جهانی Log4Shell را "دور از ایده آل" می نامد. این تیم با استفاده از موتور تخصصی Shodan، نسخههای قدیمی نرمافزار و سرورهای آسیبپذیر Log4Shell را اسکن کردند . نتیجه خیره کننده 90000 نقطه آسیب پذیر بود که در معرض اینترنت قرار گرفتند. به گفته تیم تحقیقاتی، این عدد، اگرچه در حال حاضر قابل توجه است، در مقایسه با سطح احتمالی حمله کامل Log4Shell، فقط "نوک کوه یخ" است.
به دلیل محبوبیت زیاد بازی متعلق به مایکروسافت، سرورهای Minecraft به عنوان یک دسته کاملاً مجزا در گزارش تحقیقاتی مشخص شدند.
بازی طولانی Log4Shell
عوامل تهدید چند ساعت پس از کشف این آسیبپذیری سرگردان بودهاند، زیرا میدانند که تعداد زیادی از دستگاههایی که چارچوب لاگ جاوای حاوی این نقص را اجرا میکنند، زمان زیادی را برای وصله نیاز دارند. روشها و تلاشهای جدید برای نزدیک شدن به آسیبپذیری به روشهای مختلف هر هفته از زمان کشف این نقص ظاهر میشوند.
در حالی که سطح حمله برای آسیب پذیری به این گستردگی احتمالا هرگز به طور کامل ناپدید نخواهد شد، اعداد هنوز نگران کننده هستند و انتظار می رود در ماه های آینده تلاش های بیشتری برای سوء استفاده از Log4Shell انجام شود.