شرکت نرمافزاری Apache اخیرا اصلاحاتی برای Log4j منتشر کرده است که حاوی یک آسیبپذیری روزصفر است که هماکنون به طور فعال مورد سوءاستفاده قرار میگیرد. این آسیبپذیری بر لاگهای پرکاربرد مبتنی بر جاوا Apache Log4j تأثیر میگذارد و میتواند برای اجرای کدهای مخرب و امکان کنترل کامل سیستمهای آسیبپذیر مورد استفاده قرار گرید.
این مشکل که بهعنوان CVE-2021-44228 و با نامهای Log4Shell یا LogJam شناخته میشود، مربوط به موردی از دسترسی بدون احراز هویت واجرای کد از راه دور (RCE) در هر برنامهای که از ابزار منبع باز استفاده میکند میباشد و بر نسخههای Log4j 2.0-beta9 تا ۲٫۱۴٫۱ تأثیر میگذارد. این باگ در رتبه بندی CVSS امتیاز کامل ۱۰ از ۱۰ را کسب کرده است که نشان دهنده شدت مشکل است.
شرکت Apache اعلام کرده است که : هکر و مهاجمی که میتواند لاگ پیامها یا لاگ پارامترهای پیامها را کنترل کند، میتواند کد دلخواه بارگیری شده از سرورهای LDAP را در شرایطی مشخص اجرا کند. از Log4j 2.15.0، این رفتار به طور پیش فرض غیرفعال شده است.
اگر یک برنامه کاربردی از طریق نمونه آسیبپذیر Log4J ثبت شود، به سادگی میتوان با یک رشته متن و از طریق یک هاست خارج از سازمان به آن دسترسی پیدا کرد. در این شرایط به مهاجمان و هکرها این امکان داده میشود که بتوانند از طریق یک سرور از راهدور به اطلاعات دسترسی پیدا کنند. تیم نگهداری پروژه Chen Zhaojun از تیم امنیت ابری Alibab این مشکل را شناسایی کردند.
از Log4j به عنوان یک بسته لاگ در انواع نرمافزارهای مختلف و پرکاربرد توسط تعدادی از شرکت مطرح دنیا از جمله Amazon، Apple iCloud، Cisco، Cloudflare، ElasticSearch، Red Hat، Steam، Tesla، Twitter و شرکتهای تولید کننده بازیهای ویدیویی مانند Minecraft استفاده میشود.
در مورد شرکت Minecraft، هکرها به سادگی و با چسباندن یک پیام ساخته شده مخصوص در چتباکس توانسته اند RCE را در سرورهای Minecraft بدست آورند.