اینتل، انویدیا، مایکروسافت در برابر اکسپلویت حیاتی جاوا آسیب پذیر هستند. AMD تحت تأثیر قرار نگرفت

اخیراً یک آسیب‌پذیری جاوا (Log4Shell) کشف شده است که به قدری شدید است که به مهاجم اجازه می‌دهد تا دستورات را از راه دور بر روی ماشین سوء استفاده‌شده اجرا کند. این آسیب‌پذیری که تحت CVE-2021-44228 توسط مؤسسه ملی استانداردها و فناوری (NIST) پیگیری می‌شود، بر کتابخانه ورود به سیستم در آپاچی، یک بسته سرور منبع باز و پرکاربرد تأثیر می‌گذارد. این آسیب پذیری هر سیستمی را که مستقیماً از طریق مرورگر، دستگاه تلفن همراه یا رابط برنامه نویسی برنامه (یا API) در دسترس باشد، به خطر می اندازد.

در حالی که AMD اعلام کرده است که محصولات نرم افزاری خود در برابر سوء استفاده در امان هستند، اینتل 9 برنامه کاربردی که از جاوا استفاده می کنند و در حال حاضر آسیب پذیر هستند را فهرست کرده است.

• Intel Audio Development Kit
• Intel Datacenter Manager
• Intel oneAPI sample browser plugin for Eclipse
• Intel System Debugger
• Intel Secure Device Onboard (mitigation available on GitHub)
• Intel Genomics Kernel Library
• Intel System Studio
• Computer Vision Annotation Tool maintained by Intel
• Intel Sensor Solution Firmware Development Kit

اکسپلویت در سرویس Log4J آپاچی به یک هکر اجازه می دهد تا سرور مورد نظر را فریب دهد تا کد دلخواه (مخلف) را دانلود و اجرا کند که می تواند روی سروری که مهاجم کنترل می کند میزبانی شود و چندین لایه از راه حل های امنیتی نرم افزار را دور بزند. مهم این است که اکسپلویت نیازی به دسترسی فیزیکی به سیستم ندارد. این می تواند از طریق هر سروری که به نوعی دسترسی به مرورگر دارد راه اندازی شود. این توضیح می دهد که چرا این آسیب پذیری تحت بالاترین مقدار ممکن دستورالعمل های “CVSS 3.0” طبقه بندی شده است: 10. اینتل در حال حاضر مشغول ارائه نسخه های به روز این برنامه ها است که آسیب پذیری را کاهش می دهد.

AMD اعلام کرده است که پس از بررسی های اولیه، به نظر می رسد هیچ یک از محصولات آنها تحت تأثیر این آسیب پذیری قرار نگرفته است. با توجه به تاثیر احتمالی آن، AMD گفت که “به تحلیل خود ادامه می دهد.”

وضعیت انویدیا کمی پیچیده‌تر است: اگر از آخرین نسخه‌ها برای سرویس‌ها و زیرسرویس‌های هر برنامه استفاده می‌کنید، در حال حاضر هیچ آسیب‌پذیری قابل سوءاستفاده شناخته‌شده‌ای وجود ندارد. با این حال، مدیران سرور همیشه آخرین به‌روزرسانی‌ها را در دستگاه‌های خود ارائه نمی‌کنند، و برای آن‌ها، این شرکت چهار محصول متمایز را که در صورت قدیمی بودن در برابر «Log4Shell» آسیب‌پذیر هستند فهرست می‌کند:

• CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
• DGX Systems
• NetQ
• vGPU Software License Server

علاوه بر این، انویدیا سیستم‌های محاسباتی سازمانی DGX خود را با بسته‌های Ubuntu-Linux توزیع می‌کند و کاربران می‌توانند بلوک عملکرد Log4J آپاچی را خودشان نصب کنند. بنابراین سیستم ها در پیکربندی خارج از جعبه خود مصون هستند. اما در مواردی که سرویس Log4J نصب شده است، انویدیا از کاربران می‌خواهد سرویس را به آخرین نسخه به‌روزرسانی کنند، که این آسیب‌پذیری را قفل می‌کند.

در مورد مایکروسافت، این شرکت به‌روزرسانی‌هایی را برای دو محصول خود منتشر کرده است که این آسیب‌پذیری را هدف قرار می‌دهند: Azure Spring Cloud آن از عناصر Log4J خاصی در فرآیند راه‌اندازی استفاده می‌کند و آن را در برابر اکسپلویت‌ها آسیب‌پذیر می‌کند مگر اینکه به‌روزرسانی شود. برنامه Azure DevOps مایکروسافت نیز اقدامات کاهشی را دریافت کرده است که هدف آن از بین بردن اکسپلویت است.