یک آسیب پذیری حیاتی در یک ابزار نرم افزاری پرکاربرد که در بازی آنلاین Minecraft مورد سوء استفاده قرار گرفت به سرعت به عنوان یک تهدید بزرگ برای کاربران اینترنت در سراسر جهان در حال ظهور است.
آدام مایرز، معاون ارشد اطلاعات در شرکت امنیت سایبری کرود استرایک گفت: «اینترنت در حال حاضر در معرض خطر است». او افزود: «مردم بسیاری برای سوء استفاده از آن تقلا می کنند.» او صبح جمعه گفت که 12 ساعت پس از فاش شدن وجود این نقص نرم افزاری، هکرها ابزارهایی را برای بهره برداری از آن توسعه داده و توزیع کرده اند.
این نقص نرم افزاری ممکن است بدترین آسیب پذیری رایانه ای باشد که در سال های اخیر کشف شده است. این نقص در یک ابزار گزارش منبع باز که در سرورهای ابری و نرم افزارهای سازمانی مورد استفاده در صنعت و دولت و در بسیاری از سیستم ها وجود دارد کشف شد. این نقص به مجرمان، جاسوسان و برنامه نویسان به طور یکسان دسترسی آسان به شبکه های داخلی را می دهد و در این شبکه ها آن ها می توانند داده های ارزشمند را غارت کنند، بدافزارها را نصب کنند، اطلاعات حیاتی را پاک کنند و آسیب های بی شماری را به بار آورند.
جو سالیوان، افسر ارشد امنیت کرود استرایک که زیرساخت آنلاینش از وب سایت ها در برابر عوامل مخرب محافظت می کند گفت: «به سختی می توانم به شرکتی فکر کنم که در معرض خطر نباشد. میلیونها سرور ناخواسته در معرض این خطر قرار دارند و کارشناسان می گویند که پیامدهای آن تا چند روز مشخص نخواهد بود.»
آمیت یوران، مدیر عامل شرکت امنیت سایبری Tenable، این خطر را «بزرگ ترین و بحرانی ترین آسیب پذیری دهه گذشته» و احتمالاً بزرگ ترین آسیب پذیری در تاریخ محاسبات مدرن نامید.
این نقص یا آسیب پذیری نرم افزاری که «Log4Shell» نامیده می شود، در مقیاس یک تا 10 توسط بنیاد نرمافزار آپاچی، که بر توسعه نرمافزار ها نظارت دارد، رتبه 10 را دریافت کرد. هرکسی که این اکسپلویت را داشته باشد می تواند به رایانه ای که از این نرمافزار استفاده می کند دسترسی کامل داشته باشد.
کارشناسان می گویند که این آسیب پذیری به مهاجم اجازه می دهد بدون نیاز به رمز عبور به وب سرور دسترسی پیدا کند و این امر آن را بسیار خطرناک می کند.
تیم واکنش اضطراری کامپیوتری نیوزلند یکی از اولین سازمان هایی بود که تنها چند ساعت پس از گزارش عمومی این آسیب پذیری در روز پنجشنبه و انتشار یک پچ، گزارش داد که این نقص به طور فعال مورد بهره برداری قرار گرفته است.
این آسیب پذیری که در نرمافزار منبع باز آپاچی مورد استفاده برای اجرای وب سایتها و سایر سرویسهای وب قرار دارد، در 25 نوامبر توسط غول فناوری چینی علی بابا گزارش شد.
اولین نشانههای آشکار بهره برداری از این نقص در Minecraft، یک بازی آنلاین بسیار محبوب و متعلق به مایکروسافت ظاهر شد. مایرز و کارشناس امنیتی مارکوس هاچینز گفتند که کاربران Minecraft قبلاً از آن برای اجرای برنامه ها بر روی رایانه سایر کاربران با چسباندن یک پیام کوتاه در یک جعبه گفتگو استفاده می کردند.
مایکروسافت اعلام کرد که به روز رسانی نرم افزاری را برای کاربران Minecraft منتشر کرده است. در این بیانیه آمده است: «کاربرانی که این به روز رسانی را اعمال می کنند محافظت می شوند.»
محققان گزارش دادند شواهدی یافته اند که نشان می دهد این آسیب پذیری می تواند در سرورهایی که توسط شرکت هایی مانند اپل، آمازون، توییتر و کلودفلر اجرا می شوند مورد سوء استفاده قرار گیرد.
سالیوان ازشرکت کلود فلر گفت که ما هیچ نشانه ای نداریم که نشان دهد سرورهای شرکت ما به خطر افتاده است.
اپل، آمازون و توییتر بلافاصله به درخواستها برای اظهار نظر پاسخ ندادند.