مرکز مدیریت استراتژیک EFTA از کارشناسان، متخصصان و مدیران فناوری اطلاعات دستگاههای دارای زیرساخت حیاتی خواسته است تا با مطالعه دقیق اخبار تخصصی مربوط به سومین آسیبپذیری امنیتی در کتابخانه Log4j، نسبت به تعمیر فوری این آسیبپذیری امنیتی و بروز رسانی آن در سیستمها و خدمات اقدام کنند. سازمان خود را برای اقدام ابری کنید.
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
این سومین نسخه بازسازی شده کتابخانه Log4j در 25 روز گذشته است.
بیت دیفندر و مایکروسافت همچنین از تلاشهای متعدد مهاجمان سایبری با استفاده از باگ Log4Shell برای نصب باجافزار بر روی سیستمهای آسیبپذیر خبر دادهاند و مایکروسافت اعلام کرده است که مهاجمان باجافزار Khonsari را روی سرور Minecraft پخش میکنند.
بنیاد نرم افزار آپاچی آسیب پذیری امنیتی جدیدی را در کتابخانه Log4j خود منتشر کرده است که آن را CVE-2021-45105، نسخه 2.17.0 – برای این کتابخانه منبع باز مبتنی بر جاوا نامگذاری کرده است. انجام داده است.
این باگ به عنوان حمله انکار سرویس (DoS) نیز شناخته می شود. این آسیب پذیری امنیتی از نوع Infinite Recursion است و تمامی نسخه های Log4j و حتی نسخه دوم منتشر شده در 25 روز گذشته را تحت تاثیر قرار می دهد.
برای یک آسیب پذیری امنیتی جدید در کتابخانه Log4j، قدر 7.5 از 10 و اهمیت “بالا” گزارش شده است.
به گزارش روز دوشنبه ICTNN، از آنجایی که کتابخانه Log4j (یکی از محبوبترین کتابخانههای مدیریتی) در بسیاری از سرویسها و سرورهای ابری تعبیه شده است، بهرهبرداری از این آسیبپذیری امنیتی نیازی به تخصص فنی و احراز هویت سطح بالا ندارد. بخش قابل توجهی از نرم افزارهای سازمانی، برنامه های کاربردی وب و انواع مختلف سرورهای آپاچی در برابر سوء استفاده از این آسیب پذیری امنیتی و حملات مبتنی بر RCE بسیار آسیب پذیر هستند.
کارشناسان امنیت سایبری در مرکز مدیریت استراتژیک افتا از مدیران امنیت فناوری اطلاعات سازمانها و زیرساختهای حیاتی خواستهاند تا با توجه به تاکید مکرر بنیاد نرمافزار آپاچی، کتابخانه Log4j را در اولین فرصت به 2.17.0 ارتقا دهند.
تحریریه ICTNN شبکه خبری
