آنچه در مورد آخرین اشکال امنیت سایبری در log4j باید بدانید

روز شنبه، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده بیانیه ای در مورد یک باگ جدید نرم افزاری منتشر کرد که می تواند iCloud اپل، ماین کرافت مایکروسافت، بایدو، IBM، وب سرویس آمازون و دیگران را تحت تاثیر قرار دهد. هکرها به طور بالقوه می توانند از این آسیب پذیری برای تصرف وب سایت ها سوء استفاده کنند.

جن ایسترلی، مدیر CISA در بیانیه‌ای گفت: «ما این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده خود اضافه کرده‌ایم، و آژانس‌های غیرنظامی فدرال - و سیگنال‌هایی به شرکای غیرفدرال - را مجبور می‌کنیم که فوراً این آسیب‌پذیری را اصلاح یا حذف کنند». این اشکال مربوط به چیزی به نام log4j است و یکی از راه هایی که مهندسان نرم افزار می توانند از وب سایت ها در برابر آن محافظت کنند، ارتقاء به آخرین نسخه log4j (2.15.0) است. ما فعالانه با نهادهایی که ممکن است شبکه‌هایشان آسیب‌پذیر باشد ارتباط برقرار می‌کنیم و از ابزارهای تشخیص نفوذ و اسکن خود برای کمک به دولت و شرکای صنعتی در شناسایی قرار گرفتن در معرض یا بهره‌برداری از آسیب‌پذیری‌ها استفاده می‌کنیم.

این آسیب پذیری ابتدا توسط تیم امنیتی علی بابا کشف شد. در اینجا چیزی است که باید در مورد اکسپلویت و log4j بدانید.

Log4j یک ابزار متن باز است که توسط برنامه های جاوا برای ثبت یا ضبط هر کاری که برنامه انجام داده است استفاده می شود. (ابزارهای منبع باز رایگان هستند و برای هر کسی که می تواند ببیند تا اشکالات یا آسیب پذیری ها را برجسته کند، در دسترس است.)

Schumann Gosemajumder، رئیس جهانی این برنامه توضیح می‌دهد: «شما می‌خواهید این رکورد را برای اهداف مختلفی ایجاد کنید، مانند اینکه بتوانید یک برنامه را در صورت بروز مشکل اشکال زدایی کنید، یا بتوانید چیز جالبی در مورد نحوه استفاده از برنامه پیدا کنید. هوش مصنوعی F5، یک شرکت زیرساخت اینترنتی و امنیت. "شما می توانید مکانیسم خود را در وب سایت یا برنامه تلفن همراه خود ایجاد کنید تا بتوانید این اطلاعات را ضبط کنید، یا می توانید از یک برنامه ثبت نام ایجاد شده توسط شخص دیگری استفاده کنید. [like] log4j."

[Related: You need to protect yourself from zero-click attacks]

هنگامی که اطلاعات به log4j منتقل می شود، معمولاً باید از طریق وب سایتی که log4j این عملیات ثبت نام را انجام می دهد، مراجعه کند.

با این حال - و این همان جایی است که این خطای جدی رخ می دهد - اگر شخصی دستوری را در قالب رشته خاصی از کاراکترهای قرار داده شده در این داده ها به کتابخانه ارسال کند، به جای اینکه فقط این اطلاعات را ثبت کند، log4j آن را به گونه ای اجرا می کند که گویی کدی است در یک برنامه.

رشته را به عنوان یک کلید اسکلت در نظر بگیرید که برنامه را باز می کند و به هر مهاجم اجازه می دهد برنامه خود را که کنترل می کند در سرور این وب سایت قرار دهد. در تئوری، آنها می توانند نرم افزاری را اجرا کنند که به آنها اجازه می دهد تا این وب سایت یا برنامه را به طور کامل کنترل کنند.

علاوه بر این، مهاجمان می توانند تمام وب سایت های موجود در اینترنت را اسکن کنند تا بیابند کدام یک با این رشته خاص مطابقت دارند.

Ghosemajumder می‌گوید: «این حمله از راه دور اجرای کد نامیده می‌شود. یکی از چیزهایی که در این مورد بسیار خطرناک است این است که می تواند به یک حمله سایبری سطح بسیار بالایی از دسترسی به وب سایت ها و حساب های شما را بدهد.

به عنوان مثال، هکرها می توانند مکانیسم های عادی مورد نیاز برای انجام کارهای حساب کاربری شما را دور بزنند، مانند ورود به وب سایت بانک یا حساب ایمیلی که از log4j استفاده می کند. از آنجا که مهاجمان ممکن است بدون ورود به حساب‌های خصوصی دسترسی داشته باشند، Ghosemajumder می‌گوید که کاربران باید فعالیت غیرمعمول حساب‌های مهم را زیر نظر داشته باشند.

در مورد شرکت‌ها و سازمان‌ها، علاوه بر به‌روزرسانی نرم‌افزار، می‌توانند از ابزارهای امنیت سایبری برای فیلتر کردن ترافیک وب‌سایت خود برای جستجوی این رشته و جلوگیری از رسیدن آن به log4j استفاده کنند. قسماجومدر گفت: "این کاری است که تیم های امنیت سایبری در حال حاضر در همه جا انجام می دهند." "ما امیدواریم که آنها این کار را به اندازه کافی سریع انجام دهند تا از بیشتر مردم محافظت کنند."

https://20khababr.ir https://afkharebartar.ir https://akhabarebartar.ir https://andnews.ir https://avatefepak.ir https://baranmajale.ir https://behtaringam.ir https://daltek.ir https://elmitarin.ir https://fardayeashena.ir https://forbos.ir https://foxirani.ir https://gisoon.ir https://hodhodirani.ir https://iranisard.ir https://kahkashani.ir https://lasttimes.ir https://lilaki.ir https://livejame.ir https://magirani.ir https://majaleiranian.ir https://mervina.ir https://mineralnews.ir https://modirezard.ir https://momon.ir https://moniseh.ir https://nationaliran.ir https://netcrafti.ir https://news-single.ir https://newsexpress.ir https://newslife.ir https://newsspot.ir https://newsteen.ir https://nikmag.ir https://officemag.ir https://okaziyon.ir https://one-news.ir https://pandamag.ir https://parsroids.ir https://patris-fun.ir https://senatornews.ir https://seratmag.ir https://sibala.ir https://sohanian.ir https://sosokan.ir https://tazekhabari.ir https://technoirani.ir https://timesirani.ir https://yamorani.ir https://yandexkhabari.ir https://abdoosnews.ir https://zehnenoandinsh.ir https://abestanews.ir https://abtinnews.ir https://akhbarebartaaar.ir https://akhbaremaaaa.ir https://akhbareshomaaa.ir https://akhshijnews.ir https://atrinnews.ir https://atroticnews.ir https://atshnews.ir https://bashariatemrooz.ir https://dastesalamatt.ir https://dostemansalam.ir https://elementorsite.ir https://emrooztafahom.ir https://ensanedirooooooz.ir https://etelaresankhabar.ir https://examplenews.ir https://fardaalefba.ir https://gisooyekhabar.ir https://halohekayatha.ir https://hashtadonoh.ir https://hekayatfardayeemaaa.ir https://honarmandkhabar.ir https://istgaheshomareyek.ir https://ketabkhoooon.ir https://kimyagaaaar.ir https://markazeakhbar.ir https://masternewss.ir https://mohamadrezasite.ir https://morvarideasia.ir https://mramins.ir https://naserinews.ir https://nasermr.ir https://newsamins.ir https://newsatropat.ir https://newscenterals.ir https://newsmineral.ir https://newsouls.ir https://newspishgamannn.ir https://newssalam.ir https://newsshans.ir https://newsworlds.ir https://parinews.ir https://patris-music.ir https://poshtibannews.ir https://powernewss.ir https://recordejadid.ir https://salamnewws.ir https://23ncfst.ir/ https://amiran-carpet.ir/ https://armanenergytec.ir/ https://blogenews.ir/ https://blogkhoon.ir/ https://bvfars.ir/ https://charsounews.ir/ https://chsnews.ir/ https://dezfil.ir/ https://dmwebmaster.ir/ https://dota2news.ir/ https://erfanhd.ir/ https://etminan110.ir/ https://faratarazkhabar.ir/ https://farsgardi20.ir/ https://footynews.ir/ https://goto98.ir/ https://ilyarkhabar.ir/ https://ir2khabar.ir/ https://iranalmanac.ir/ https://irandaryafest.ir/ https://khabarehaft.ir/ https://khabarontime.ir/ https://lolsms.ir/ https://maadgig.ir/ https://masoudtb.ir/ https://mp3news.ir/ https://music-ha.ir/ https://nakhlestankhabar.ir/ https://newcharge.ir/ https://news-links.ir/ https://news180.ir/ https://pimn.ir/ https://prmf.ir/ https://pvnews.ir/ https://rejawnews.ir/ https://sahab-co.ir/ https://samanbarg.ir/ https://semanews.ir/ https://shirinonews.ir/ https://soheilesonghor.ir/ https://tacity.ir/ https://taktanews.ir/ https://tarabaranmag.ir/ https://telegram-persian.ir/ https://tfcenter.ir/ https://trika.ir/ https://velninews.ir/ https://vidnaz.ir/ https://wajnews.ir/ https://your-news.ir/ https://zangannews.ir/ https://2016downloadnew.ir/ https://paxsolomusic.ir/ https://daryamedia.ir/ https://andikakhabar.ir/ https://seo-pbn.ir/ https://ghezelwich.ir https://panaztebtabriz.ir https://shayna-net.ir https://kanooneslamshahr.ir https://raynuts.ir https://honare2.ir https://itsama.ir https://flingpet.ir https://foreverpro.ir https://fraeesi.ir https://gkhabar.ir https://18amlak.ir https://pooyesh-khabar.ir https://matsef.ir https://photo-land.ir https://tabarestan118.ir https://disachain.ir https://chikaapp.ir https://mahestan18.ir https://radyaabkala.ir https://c-civil.ir https://saeeed.ir https://copytops.ir https://modirsearch.ir https://shz1music.ir https://m-khosravi.ir https://iranhayashi.ir https://iranian-dress.ir https://gigblog.ir https://basitcg.ir https://mashhadhekmat.ir https://rahetamin.ir https://radolyamani.ir https://bnemati.ir https://face-wood.ir https://tourvare.ir https://centertasisat.ir https://bidarirafsanjan.ir https://namahaa.ir https://30pp.ir https://script-tabadol-link.ir https://simayesarbedar.ir https://pakdashtiha.ir https://rentacars.ir https://2019movies.ir https://ekar24.ir https://saber-ramezani.ir https://teb-saharsina.ir