پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

همچنان بیش از 30% برنامه ها از نسخه آسیب پذیر کتابخانه Log4J استفاده می کنند.

تیتر مطالب

تقریبا 38% از برنامه ها از نسخه آسیب پذیر کتابخانه Apache Log4J استفاده می کنند، که باعث بروز مشکلات امنیتی متعددی مثل Log4Shell که یک آسیب پذیری حیاتی با شماره CVE-2021-44228 است، می شود. آسیب پذیری مذکور یک حفره امنیتی اجرای کد از راه دور بوده که به مهاجم امکان داشتن کنترل کامل روی سیستم های دارای نسخه Log4j 2.0  beta9 تا 2.15.0 را میدهد.
آسیب پذیری مذکور به عنوان یک آسیب پذیری Zero-day در دسامبر 2021 شناسایی شد و با تاثیر گسترده، سهولت بهره برداری و پیامدهای امنیتی خود، نقطه خوبی برای مهاجمان محسوب می شود.
پیرو این شرایط، اطلاع رسانی های گسترده ای بابت نصب وصله های مربوط به این آسیب پذیری انجام شد اما همچنان با گذشت دو سال از افشا شدن این آسیب پذیری و انتشار وصله آن، اهداف زیادی هنوز در برابر Log4Shell آسیب پذیرند. طی گزارشی از شرکت Veracode براساس اطلاعات جمع آوری شده بین 15 آگوست تا 15 نوامبر مشخص شده است که مشکلات قدیمی ممکن است برای دوره های زمانی بلندمدت ادامه داشته باشند.
علی رغم هشدارهای متعدد به مدیران سیستم همچنان تعداد قابل توجهی از سازمانها و مراکز در حال استفاده از نسخه های آسیب پذیر هستند.

سطح حمله

این شرکت امنیتی طی 90 روز اطلاعات را از 3866 سازمان مختلف که از 38278 اپلیکیشن متکی بر Log4j ورژن 1.1 تا 3.0.0 جمع آوری نموده است. 2.8 درصد از این اپلیکیشن ها از نسخه های 2.0-beta9 استفاده می کنند که مستقیما نسبت به log4Shell آسیب پذیر هستند. 3.8درصد از این اپلیکیشن ها از Log4j 2.17.0 استفاده می کنند که دارای آسیب پذیری CVE-2021-44832 است.
در نهایت 32درصد از این اپلیکیشن ها از نسخه 1.2.x استفاده می کنند که آگوست 2015 از رده خارج شده است و آسیب پذیری های متعددی از جمله CVE-2022-23307، CVE-2022-23305 و CVE-2022-23302 را دارد. در مجموع 38درصد از اپلیکیشن های قابل مشاهده از نسخه های ناامن Log4j استفاده می کنند.

اقدامات امنیتی نامناسب

استفاده مستمر از نسخه های کتابخانه یک مشکل همیشگی محسوب می شود و معمولا توسعه دهندگان برای پیشگیری از عوارض غیرضروری آن را آپدیت نمی کنند. طبق گزارش Veracode حدود 79 درصد از توسعه دهندگان هرگز کتابخانه های Third-party را برای جلوگیری از اشکالات عملکردی در اپلیکیشن خود آپدیت نمی کنند. علاوه بر این در این بررسی ها مشخص شده است که در 50درصد از پروژه ها حدود 65 روز طول می کشد تا به نقص های با شدت بالا رسیدگی شود.
Log4j به تنهایی یک سوم از منابع خطر محسوب می شود و ممکن است به راحتی یکی از راههای متعددی باشد که مهاجمان برای به خطر انداختن یک شبکه یا سیستم از آن استفاده می کنند.
توصیه به شرکتها این است که شبکه خود را بررسی نموده، نسخه های کتابخانه های منبع باز در حال استفاده را یافته و سپس یک برنامه ارتقا اضطراری برای آنها ایجاد کنند.

منبع: www.bleepingcomputer.com