اخیراً یک آسیبپذیری جاوا (Log4Shell) کشف شده است که به قدری شدید است که به مهاجم اجازه میدهد تا دستورات را از راه دور بر روی ماشین سوء استفادهشده اجرا کند. این آسیبپذیری که تحت CVE-2021-44228 توسط مؤسسه ملی استانداردها و فناوری (NIST) پیگیری میشود، بر کتابخانه ورود به سیستم در آپاچی، یک بسته سرور منبع باز و پرکاربرد تأثیر میگذارد. این آسیب پذیری هر سیستمی را که مستقیماً از طریق مرورگر، دستگاه تلفن همراه یا رابط برنامه نویسی برنامه (یا API) در دسترس باشد، به خطر می اندازد.
در حالی که AMD اعلام کرده است که محصولات نرم افزاری خود در برابر سوء استفاده در امان هستند، اینتل 9 برنامه کاربردی که از جاوا استفاده می کنند و در حال حاضر آسیب پذیر هستند را فهرست کرده است.
- Intel Audio Development Kit
- Intel Datacenter Manager
- Intel oneAPI sample browser plugin for Eclipse
- Intel System Debugger
- Intel Secure Device Onboard (mitigation available on GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Computer Vision Annotation Tool maintained by Intel
- Intel Sensor Solution Firmware Development Kit
اکسپلویت در سرویس Log4J آپاچی به یک هکر اجازه می دهد تا سرور مورد نظر را فریب دهد تا کد دلخواه (مخلف) را دانلود و اجرا کند که می تواند روی سروری که مهاجم کنترل می کند میزبانی شود و چندین لایه از راه حل های امنیتی نرم افزار را دور بزند. مهم این است که اکسپلویت نیازی به دسترسی فیزیکی به سیستم ندارد. این می تواند از طریق هر سروری که به نوعی دسترسی به مرورگر دارد راه اندازی شود. این توضیح می دهد که چرا این آسیب پذیری تحت بالاترین مقدار ممکن دستورالعمل های “CVSS 3.0” طبقه بندی شده است: 10. اینتل در حال حاضر مشغول ارائه نسخه های به روز این برنامه ها است که آسیب پذیری را کاهش می دهد.
AMD اعلام کرده است که پس از بررسی های اولیه، به نظر می رسد هیچ یک از محصولات آنها تحت تأثیر این آسیب پذیری قرار نگرفته است. با توجه به تاثیر احتمالی آن، AMD گفت که “به تحلیل خود ادامه می دهد.”
وضعیت انویدیا کمی پیچیدهتر است: اگر از آخرین نسخهها برای سرویسها و زیرسرویسهای هر برنامه استفاده میکنید، در حال حاضر هیچ آسیبپذیری قابل سوءاستفاده شناختهشدهای وجود ندارد. با این حال، مدیران سرور همیشه آخرین بهروزرسانیها را در دستگاههای خود ارائه نمیکنند، و برای آنها، این شرکت چهار محصول متمایز را که در صورت قدیمی بودن در برابر «Log4Shell» آسیبپذیر هستند فهرست میکند:
- CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
- DGX Systems
- NetQ
- vGPU Software License Server
علاوه بر این، انویدیا سیستمهای محاسباتی سازمانی DGX خود را با بستههای Ubuntu-Linux توزیع میکند و کاربران میتوانند بلوک عملکرد Log4J آپاچی را خودشان نصب کنند. بنابراین سیستم ها در پیکربندی خارج از جعبه خود مصون هستند. اما در مواردی که سرویس Log4J نصب شده است، انویدیا از کاربران میخواهد سرویس را به آخرین نسخه بهروزرسانی کنند، که این آسیبپذیری را قفل میکند.
در مورد مایکروسافت، این شرکت بهروزرسانیهایی را برای دو محصول خود منتشر کرده است که این آسیبپذیری را هدف قرار میدهند: Azure Spring Cloud آن از عناصر Log4J خاصی در فرآیند راهاندازی استفاده میکند و آن را در برابر اکسپلویتها آسیبپذیر میکند مگر اینکه بهروزرسانی شود. برنامه Azure DevOps مایکروسافت نیز اقدامات کاهشی را دریافت کرده است که هدف آن از بین بردن اکسپلویت است.