Log4j هنوز وصله نشده است؟ فرض کنید مهاجمان در شبکه شما هستند، مثلا CISA و FBI


مرد برنامه نویس نزدیک در حال تایپ روی لپ تاپ صفحه کلید برای ثبت سیستم داده یا دسترسی به رمز عبور در اتاق عملیات تاریک، مفهوم امنیت سایبری

تصویر: Getty Images/iStockphoto

یک هشدار امنیتی مشترک توسط CISA و FBI به سازمان‌هایی که وصله‌های امنیتی Log4j و اقدامات کاهشی بسیار مورد نیاز را برای نمونه‌های سرور VMware Horizon اعمال نکرده‌اند، هشدار داده است تا فرض کنند شبکه آنها در معرض خطر قرار گرفته است و مطابق با آن عمل کنند.

پس از بررسی یک حمله سایبری، علیه سازمانی که آنها به عنوان یک سازمان «شاخه اجرایی غیرنظامی فدرال» توصیف می‌کنند، مشخص شد که هکرها با سوءاستفاده از یک آسیب‌پذیری Log4j اصلاح‌نشده در سرور VMware Horizon، به شبکه نفوذ کردند.

اخطار تقریباً یک سال کامل پس از افشای آسیب‌پذیری Log4j و از سازمان‌ها خواسته شد تا اصلاحیه‌ها یا کاهش‌دهنده‌هایی را علیه نقص امنیت سایبری که جن ایسترلی، رئیس CISA توصیف می‌کند، به‌عنوان یکی از جدی‌ترین مواردی که در کل دوران حرفه‌ای خود دیده‌ام، اعمال کنند. جدی ترین».

آسیب پذیری (CVE-2021-44228) در کتابخانه لاگ جاوا که به طور گسترده مورد استفاده قرار می گیرد Apache Log4j است و اگر با موفقیت مورد سوء استفاده قرار گیرد، این نقص به مهاجمان اجازه می دهد تا از راه دور کد را اجرا کنند و به ماشین ها دسترسی پیدا کنند.

همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد

ماهیت فراگیر Apache Log4j به این معنی است که در مجموعه وسیعی از برنامه‌ها، سرویس‌ها و ابزارهای نرم‌افزاری سازمانی که به زبان جاوا نوشته شده‌اند و توسط سازمان‌های سراسر جهان استفاده می‌شوند، تعبیه شده است، که بسیاری از آنها برای اعمال اصلاحات عجله داشتند.

اما علی‌رغم پیام‌های فوری در مورد نیاز به اعمال به‌روزرسانی‌های امنیتی حیاتی، هنوز سازمان‌هایی هستند که این کار را انجام نداده‌اند – به این معنی که آنها هنوز در برابر هر مجرم سایبری یا سایر هکرهای مخربی که به دنبال سوء استفاده از Log4j هستند آسیب‌پذیر هستند.

اکنون CISA و FBI به سازمان‌هایی که دارای سیستم‌های VMware آسیب‌دیده هستند هشدار داده‌اند که فوراً وصله‌ها یا راه‌حل‌های راه‌حلی را اعمال نکرده‌اند تا “مصالح و فعالیت‌های شکار تهدید را آغاز کنند”.

مشاوره امنیت سایبری (CSA) همچنین به سازمان‌هایی که در نتیجه Log4j به خطر افتاد هشدار می‌دهد که «حرکت جانبی» توسط مهاجمان را فرض کنند، هرگونه سیستم متصل و حساب‌های حسابرسی با دسترسی با امتیاز بالا را بررسی کنند.

در این هشدار آمده است: «همه سازمان‌ها، صرف‌نظر از شواهد شناسایی شده در مورد مصالحه، باید توصیه‌های بخش کاهش‌دهنده این CSA را برای محافظت در برابر فعالیت‌های سایبری مخرب مشابه اعمال کنند».

این کاهش‌ها شامل به‌روزرسانی VMware Horizon و سیستم‌های دروازه دسترسی یکپارچه و سایر نرم‌افزارها به آخرین نسخه، و به حداقل رساندن سرویس حمله اینترنتی با میزبانی سرویس‌های ضروری در شبکه‌های مجزا و اطمینان از برقراری کنترل‌های دسترسی محیطی دقیق، از جمله استفاده از رمزهای عبور قوی و احراز هویت چند عاملی.

همچنین توصیه می‌شود که سازمان‌ها کنترل‌های امنیتی خود را به‌ویژه در برابر تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) مورد استفاده توسط مهاجمان Log4j آزمایش کنند.

CISA گفت که در این مورد متوجه شده است که مهاجمان با سوء استفاده از آسیب‌پذیری Log4j در سرور VMware Horizon وصله‌نشده، به شبکه نفوذ کرده‌اند. علاوه بر نصب بدافزارهای رمزنگاری، مهاجمان توانستند در شبکه حرکت کنند و نام کاربری و رمز عبور را به سرقت ببرند.

CISA به این نتیجه رسیده است که در این نمونه، فعالیت سایبری مخرب سوء استفاده از Log4j توسط یک گروه تهدید مداوم پیشرفته (APT) انجام شده است که از طرف دولت ایران کار می کند.

اطلاعات بیشتر در مورد امنیت سایبری


منبع: https://www.zdnet.com/article/cybersecurity-warning-if-youve-not-patched-log4j-yet-assume-attackers-are-in-your-network/#ftag=RSSbaffb68