خلاصه: پس از کشف آسیب پذیری LOG4J بسیاری از شرکتهای مطرح فهرستی از محصولا آسیبپذیر خود را منتشر کردند. تعدادی از بدافزارهای نیز از طریق این آسیبپذیری در حال انتشار هستند.
از روز جمعه، آذرماه با کشف آسیبپذیری LOG4J فضای ملتهبی ایجاد شده است. این آسیبپذیری بحرانی در کتابخانه logging جاوا به نام log4j با شناسه CVE-2021-44228 از نوع اجرای کد از راه دور (RCE) است که میتواند کنترل کل سرور آسیبپذیر را به مهاجم بسپارد. از آنجا که این کتابخانه در بسیاری از محصولات شرکتهای بزرگ فناوری اطلاعات به کار گرفته شده است، کاربران زیادی در سراسر اینترنت تحت تأثیر این آسیبپذیری هستند. از این رو شرکتهای پیشرو به سرعت در حال بررسی تکتک محصولات خود هستند تا فهرستی از تمامی محصولات آسیبپذیر انتشار کنند.
در این گزارش، آخرین محصولاتی که آسیبپذیری آنها تأیید شده است را معرفی خواهیم کرد و به اقدامات مهاجمین در این چند روز برای سوءاستفاده از این آسیبپذیری میپردازیم. قابل ذکر است که جزییات آسیبپذیری و نحوه به روزرسانی آن را میتوانید در اینجا مطالعه کنید.
هنگامی که یک آسیب پذیری اجرای کد از راه دور که به راحتی قابل بهره برداری هم باشد به طور عمومی منتشر می شود، مهاجمان و به طو رویژه توزیعکنندگان بدافزار معمولاً اولین کسانی هستند که شروع به استفاده از آن میکنند.
با توجه به گزارش های وبسایت BleepingComputer و داده های سرویس GreyNoise انتسا ربدافزارهای زیر تأیید شده است:
بدافزار Cryptominers
اجرای اسکریپتهای shell که نسخههای متنوعی از Cryptominerها را دانلود و نصب میکند در عکس زیر مشخص است. مهاجمین درب پشتی Kinsing و باتنتهای استخراجکننده رمزارزها به شدت در حال سوءاستفاده از این آسیبپذیری با پیلودهای Base64 هستند.
باتنتهای Mirai و Muhstik
هر دوی این باتنتها در حال تسخیر کردن تجهیزات اینترنت اشیا هستند تا با کمک منابع پردازشی آنها حملات منع سرویس توزیعشده و استخراج رمزارز انجام دهند.
Cobalt Strike
Cobalt Strike یک ابزار تست نفوذ قانونی است که در آن تیمهای قرمز پیلود آن را روی دستگاههای "در معرض خطر" مستقر میکنند تا نظارت از راه دور شبکه را انجام دهند یا دستورات بیشتری را اجرا کنند.با این حال، مهاجمین معمولاً از نسخههای کرک شده Cobalt Strike برای رخنه به شبکه در طول حملات باجافزاری استفاده میکنند. شرکت مایکروسافت گزارش داده است که مهاجمین با سوءاستفاده از آسیبپذیری lOG4J در حال قرار دادن این ابزار روی سیستمهای آسیبپذیر هستند.
محصولات آسیبپذیر
در ادامه به معرفی محصولات آسیبپذیر برندهای مطرح میپردازیم:
محصولات آسیبپذیر آمازون
آمازون تاکنون تعدادی از محصولات آسیبپذیر خود را به نسخه غیرآسیبپذیر کتابخانه LOG4J بهروزرسانی کرده و اعلام کرده که برای تعدادی دیگری از محصولاتش نیز به زودی بهروزرسانی منتشر خواهد کرد. در میان محصولات آسیبپذیر میتوان به OpenSearch، AWS، S3، CloudFront و API Gateway اشاره کرد. برای مشاهده فهرستی کاملی از آسیبپذیریهای محصولات آمازون به این لینک مراجعه کنید.
محصولات آسیبپذیر Atlassian
شرکت Atlassian با انتشار بیانیهای اعلام کرده است که محصولاتش با پیکربندی حالت پیشفرض به این آسیبپذیری حساس نیستند.
محصولات آسیبپذیر Broadcom
شرکت Broadcom تعدادی از محصولات Symantec آسیبپذیر خود را در این فهرست اعلام کرده است که میتوان به CA Advanced Authentication، Symantec SiteMinder اشاره کرد. برای مشاهده سایر محصولات این لینک را مشاهده کنید.
محصولات آسیبپذیر سیسکو
بسیاری از محصولات سیسکو در حال بررسی هستند که برای برخی از آنها آسیبپذیری تأیید شده است. سایر محصولات تحت بررسی نیز معرفی شدهاند. فهرست محصولات آسیبپذیر را میتوانید در این لینک مشاهده کنید. شرکت سیسکو با تنظیم یک تقویم، بهروزرسانی محصولات خود را از تاریخ ۲۳ آذرماه برنامهریزی کرده است. محصولات آسیبپذیری سیسکو در چهار دسته قابل بررسی هستند:
- تجهیزات شبکه و امنیت محتوا،
- رسانههای اجتماعی،
- مدیریت شبکه
- روتینگ و سوئیچینگ
محصولات آسیبپذیر Citrix
تاکنون این شرکت فهرستی از محصولات آسیبپذیر به این آسیبپذیری خاص را ارائه نکرده است.
محصولات آسیبپذیر ConnectWise
این شرکت از محصولاتی همچون FortiGuard's FortiSIEM استفاده میکرده است که آسیبپذیری آنها تأیید شده است.
محصولات آسیبپذیر cPanel
به صورت غیررسمی پلاگین cPanel Solr این شرکت آسیبپذیر اعلام شده است.
محصولات آسیبپذیر Debian
بسته Log4j وصلهشده به Debian در نسخههای ۹، ۱۰، ۱۱ و ۱۲ اضافه شده است.
محصولات آسیبپذیربسته Docker
آسیبپذیری تعداد زیادی از محصولات Docker از جمله
محصولات آسیبپذیر FortiGuard
برای مشاهده محصولات آسیبپذیر این شرکت این لینک را مشاهده کنید. از محصولات آسیبپذیر میتوان به FortiSIEM، FortiInsight، FortiMonitor، FortiPortal، FortiPolicy و ShieldX اشاره کرد.
محصولات آسیبپذیرF-Secure
محصولات ویندوزی و لینوکسی این شرکت آسیبپذیر تشخیص داده شدهاند که از میان آنها میتوان به Policy Manager، Policy Manager Proxy، Endpoint Proxy و Elements Connector اشاره کرد. فهرست محصولات آسیبپذیر را میتوان در اینجا مشاهده کرد.
محصولات آسیبپذیر Ghidra
ابزار مهندسی معکوس این شرکت بهروزرسانی شده است.
محصولات آسیبپذیر IBM
شرکت IBM تاکنون آسیبپذیری را در WebSphere Application Server تأیید کرده است.
محصولات آسیبپذیر Juniper Networks
چهار محصول این شرکت بهروزرسانی شده است: Paragon Active Assurance، Paragon Insights، Paragon Pathfinder و Paragon Planner
McAfee
این شرکت در ۱۲ محصول خود را تحت بررسی قرار داده است و نتیجه را در این لینک اعلام خواهد کرد.
محصولات آسیبپذیر MongoDB
محصول MongoDB Atlas Search بایستی طبق راهنمایی این لینک بهروزرسانی شود.
محصولات آسیبپذیرOkta
دو محصول Okta RADIUS Server Agent و Okta On-Prem MFA Agent بایستی بهروزرسانی شوند.
محصولات آسیبپذیرOracle
این شرکت اگرچه تأیید کرده است که تعدادی از محصولاتش آسیبپذیر شناسایی شدهاند اما جزییاتی بیشتری اعلام نکرده است.
محصولات آسیبپذیر OWASP Foundation
اسکنر وب Zed Attack Proxy در نسخههای کمتر از ۲.۱۱.۱ آسیبپذیر است.
محصولات آسیبپذیر Red Hat
بسیاری از محصولات این شرکت آسیبپذیر شناخته شدهاند که در این فهرست معرفی شدهاند.
محصولات آسیبپذیر SolarWinds
دو محصول Server & Application Monitor (SAM) و Database Performance Analyzer (DPA) آسیبپذیر هستند.
محصولات آسیبپذیر SonicWall
محصول SonicWall’s Email Security در نسخه ۱۰.x تحت تأثیر این آسیبپذیری است. تعدادی دیگر از محصولات این شرکت تحت بررسی هستند که در این جا قابل مشاهدهاند.
محصولات آسیبپذیر Splunk
محصولات آسیبپذیر این شرکت را میتوان در این لینک مشاهده کرد.
محصولات آسیبپذیر VMware
در این فهرست میتوانید محصولات آسیبپذیر این برند را مشاهده کنید.
محصولات آسیبپذیر Ubiquiti
محصول UniFi Network Application آسیبپذیر است.
محصولات آسیبپذیر Ubuntu
نسخههای Ubuntu 18.04 LTS (Bionic Beaver) و ۲۰.۰۴ LTS (Focal Fossa)، 21.04 (Hirsute Hippo) و ۲۱.۱۰ (Impish Indri) بهروزرسانی شدهاند.
