محققان روز سه شنبه آسیب پذیری انکار سرویس (DoS) را در Eclipse Jetty ، یک وب سرور منبع باز ، که به طور گسترده استفاده می شود ، پیدا کردند.

در یک پست وبلاگ ، محققان مرکز تحقیقات امنیت سایبری Synopsys (CyRC) گفتند در حالی که آنها به دلیل CVE-2020-27223 نشت حافظه یا خرابی را مشاهده نکرده اند ، پردازش یک درخواست برای یک سرور ممکن است چند دقیقه طول بکشد. محققان همچنین یک رابطه نمایی را بین اندازه درخواست و مدت زمان استفاده از CPU مشاهده کردند.

بر اساس وب سایت بنیاد Eclipse: “جت در طیف گسترده ای از پروژه ها و محصولات ، هم در توسعه و هم در تولید استفاده می شود. Jetty به دلیل سابقه طولانی که به راحتی در دستگاه ها ، ابزارها ، چارچوب ها ، سرورهای برنامه ها و سرویس های ابری مدرن جاسازی شده است ، مدت ها است که مورد علاقه توسعه دهندگان قرار گرفته است.

از آنجا که Jetty از چنین کاربرد گسترده ای برخوردار است ، Dirk Schrader ، معاون جهانی تحقیقات امنیتی در New Net Technologies ، این آسیب پذیری را چیزی نزدیک به یک کابوس دیجیتال خواند. شریدر گفت به خصوص در دستگاه های جاسازی شده در سیستم های کنترل صنعتی – که اغلب قابل بروزآوری  نیستند – این امر به دلیل در دسترس بودن در محیط های اینترنت اشیاount از اهمیت بالاتری برخوردار است که این می تواند عواقب جدی داشته باشد.

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

شریدر گفت: “یک جستجوی Shodan حدود 900000 ورودی برای” Jetty “را نشان می دهد که اکثریت آنها در ایالات متحده واقع شده است.” وی افزود: “حتی اگر این دستگاه ها پشت دیوار آتش یا در شبکه های جداگانه ای قرار داشته باشند ، این آسیب پذیری برای مجرمان سایبری یک وکتور حمله جدید برای اخاذی فراهم می کند.و آنها می توانند با تأسیس جایگاه خود ، یک DoS را در دستگاههای دارای سرور وب جت تعبیه شده آغاز کنند. “

Tal Morgenstern ، بنیانگذار و مدیر ارشد محصولات در Vulcan Cyber ​​، گفت: جوانب مثبت امنیتی می توانند با ارتقا can Jetty ، این آسیب پذیری DoS از راه دور را وصله کنند یا با نظارت و مسدود کردن درخواست های بزرگ یا نظارت بر استفاده غیر عادی از CPU ، این آسیب پذیری را از بین ببرند.

لینک مطلب

هشدار آسیب پذیری CVE-2020-1472 Netlogon Elevation of Privilege که باعث دسترسی ادمین شبکه می شود

 

هشدار آسیب پذیری CVE-2020-1472 Netlogon Elevation of Privilege که باعث دسترسی ادمین شبکه می شود

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code