गंभीर Log4Shell सुरक्षा दोष हैकर्स को कमजोर सर्वरों से समझौता करने देता है

Apache ने अपनी Log4j 2 लाइब्रेरी में भेद्यता को ठीक कर लिया है, लेकिन हमलावर असुरक्षित सर्वर की खोज कर रहे हैं, जिस पर वे दुर्भावनापूर्ण कोड को दूरस्थ रूप से निष्पादित कर सकते हैं।

सुरक्षा.जेपीजी

iStock/weerapatkiatdumrong

अपाचे के एक लोकप्रिय उत्पाद में एक गंभीर सुरक्षा भेद्यता ने साइबर अपराधियों के लिए अतिसंवेदनशील सर्वरों पर हमला करने की कोशिश करने के लिए बाढ़ के द्वार खोल दिए हैं। गुरुवार को अपाचे में आई खराबी का खुलासा लॉग4जे 2, जावा अनुप्रयोगों के लिए अनुरोध लॉग करने के लिए लाखों लोगों द्वारा उपयोग की जाने वाली उपयोगिता। Log4Shell नामित, भेद्यता हमलावरों को प्रभावित सर्वरों का नियंत्रण लेने की अनुमति दे सकती है, एक ऐसी स्थिति जिसने हैकर्स को पहले से ही अनपेक्षित सिस्टम के लिए स्कैन करने के लिए प्रेरित किया है, जिस पर वे दूरस्थ रूप से दुर्भावनापूर्ण कोड चला सकते हैं।

देखो: पैच प्रबंधन नीति (टेक रिपब्लिक प्रीमियम)

समस्या ने कई कारणों से जल्दी से चिंता पैदा कर दी है। Log4j पुस्तकालय दुनिया भर में व्यापक रूप से उपयोग किया जाता है, इसलिए बड़ी संख्या में जावा एप्लिकेशन और संबंधित सिस्टम जोखिम में हैं। दोष का शोषण करना काफी आसान है क्योंकि एक हमलावर को लॉग में केवल जावा कोड की एक पंक्ति डालने की आवश्यकता होती है।

सीईआरटी न्यूजीलैंड और अन्य संगठनों ने बताया है कि जंगली में भेद्यता का शोषण किया जा रहा है और उस प्रूफ-ऑफ़-कॉन्सेप्ट कोड को सुरक्षा कमज़ोरी के सबूत के तौर पर प्रकाशित किया गया है।

राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) ने यह भेद्यता दी है, जिसे . के रूप में जाना जाता है सीवीई-2021-44228, 10 में से 10 का गंभीरता स्कोर। उच्चतम स्कोर के रूप में, यह दोष की गंभीर प्रकृति को इंगित करता है क्योंकि इसका फायदा उठाने के लिए बहुत कम तकनीकी ज्ञान की आवश्यकता होती है और उपयोगकर्ता के किसी भी ज्ञान या इनपुट के बिना सिस्टम से समझौता कर सकता है।

“इसका सबसे बड़ा खतरा यह है कि ‘log4j’ पैकेज इतना सर्वव्यापी है – इसका उपयोग अन्य तकनीकों के साथ Apache Struts, Solr, Druid जैसे Apache सॉफ़्टवेयर के साथ किया जाता है। [such as] रेडिस, इलास्टिकसर्च और यहां तक ​​​​कि माइनक्राफ्ट जैसे वीडियो गेम, “हंट्रेस के वरिष्ठ सुरक्षा शोधकर्ता जॉन हैमंड ने कहा। “निर्माताओं और प्रदाताओं की विभिन्न वेबसाइटें प्रभावित हुई हैं: ऐप्पल, ट्विटर, स्टीम, टेस्ला और बहुत कुछ। अंततः, लाखों एप्लिकेशन लॉगिंग के लिए log4js का उपयोग करते हैं। एक हमले को ट्रिगर करने के लिए सभी बुरे अभिनेता को टेक्स्ट की एक पंक्ति की आपूर्ति करने की आवश्यकता होती है।”

अपाचे पहले से ही है Log4Shell शोषण को पैच किया. जो कोई भी log4j लाइब्रेरी का उपयोग करता है, उससे तुरंत Log4j 2.15.0 संस्करण में अपग्रेड करने का आग्रह किया जाता है। हालांकि, हैकर्स जानते हैं कि संगठन अक्सर महत्वपूर्ण सुरक्षा खामियों को भी ठीक करने में धीमे होते हैं, यही वजह है कि हमलावर बिना पैच वाले सिस्टम की तलाश कर रहे हैं। Oracle, Cisco और VMware सहित अन्य विक्रेताओं ने अपने उत्पादों को सुरक्षित करने के लिए पैच जारी किए हैं।

जो लोग जल्दी से अपग्रेड नहीं कर सकते हैं, उनके लिए सुरक्षा फर्म साइबरसन ने वह जारी किया है जिसे वह कहते हैं Log4Shell दोष के लिए एक “वैक्सीन”, जो बग का शोषण होने से रोकता है। आज़ादी से गिटहब पर उपलब्ध है, कंपनी के अनुसार, फिक्स को सक्रिय करने के लिए केवल मूल जावा कौशल की आवश्यकता होती है। लेकिन अंततः, Log4j के पैच किए गए संस्करण को स्थापित करना अभी भी आपके सिस्टम की सुरक्षा का सबसे प्रभावी साधन है।

आप यह भी पहचान सकते हैं कि क्या आपका कोई रिमोट एंडपॉइंट और सर्वर पहली बार में दोष के लिए अतिसंवेदनशील है, जैसा कि एक में वर्णित है सुरक्षा प्रदाता LunaSec . से ब्लॉग पोस्ट. फर्म एक DNS क्वेरी चलाने का सुझाव देती है ताकि सर्वर को रिमोट कोड लाने के लिए मजबूर किया जा सके ताकि आपको यह बताया जा सके कि भेद्यता ट्रिगर हुई है या नहीं। आगे की मदद के लिए, a GitHub पर उपलब्ध सूची अतिरिक्त संसाधन प्रदान करता है और इस दोष के प्रति संवेदनशील कई अनुप्रयोगों में से कुछ को प्रकट करता है।

देखो: एनआईएसटी साइबर सुरक्षा ढांचा: पेशेवरों के लिए एक धोखा पत्र (मुफ्त पीडीएफ) (टेक रिपब्लिक)

पैच के साथ भी, यह एक गंभीर सुरक्षा समस्या के रूप में आकार ले रहा है, जो निकट भविष्य के लिए संगठनों और उपयोगकर्ताओं को प्रभावित करने की उम्मीद है।

डिजिटल शैडो के सीनियर साइबर थ्रेट इंटेल एनालिस्ट सीन निकेल ने कहा, “यह संभवतः एक स्थानिक समस्या होगी जो आने वाले हफ्तों और महीनों में कमजोर मशीनों को खोजने और पैच करने के लिए सुरक्षा और बुनियादी ढांचा टीमों की दौड़ के रूप में निकट अवधि के लिए जारी रहेगी।” “सुरक्षा टीमों को इसी तरह प्रतिकूल स्कैन में वृद्धि देखने की उम्मीद करनी चाहिए जो इंटरनेट पर कमजोर बुनियादी ढांचे की तलाश करती है, साथ ही आने वाले दिनों में प्रयासों का फायदा उठाती है।”

Log4j के नवीनतम पैच किए गए संस्करण को स्थापित करने के अलावा, इस नवीनतम सुरक्षा दोष और सामान्य रूप से जावा कमजोरियों के साथ संगठनों को अन्य कदम उठाने चाहिए।

कंट्रास्ट सिक्योरिटी के सह-संस्थापक और मुख्य वैज्ञानिक अरशन दबिरसियाघी ने कहा, “कोई गलती न करें, यह वर्षों में हमने देखा है कि यह सबसे बड़ी जावा भेद्यता है।” “यह बिल्कुल क्रूर है। टीमों को अब तीन मुख्य प्रश्नों का उत्तर देना चाहिए – यह मुझे कहां प्रभावित करता है, मैं शोषण को रोकने के लिए अभी प्रभाव को कैसे कम कर सकता हूं, और भविष्य में शोषण को रोकने के लिए मैं इसे और इसी तरह के मुद्दों का पता कैसे लगा सकता हूं?”

यह भी देखें

  • हायरिंग किट: साइबर सिक्योरिटी इंजीनियर (टेक रिपब्लिक प्रीमियम)
  • क्षितिज पर सुरक्षा खतरे: आईटी पेशेवरों को क्या जानने की जरूरत है (मुफ्त पीडीएफ) (टेक रिपब्लिक)
  • साइबर हमले ज्ञात सुरक्षा कमजोरियों का कैसे फायदा उठाते हैं (टेक रिपब्लिक)
  • रैंसमवेयर हमले तेजी से सुरक्षा कमजोरियों का फायदा उठा रहे हैं (टेक रिपब्लिक)
  • Google, Microsoft और Oracle ने 2021 की पहली छमाही में सबसे अधिक साइबर सुरक्षा भेद्यताएँ अर्जित कीं (टेक रिपब्लिक)
  • संगठन हाई-प्रोफाइल कमजोरियों को भी ठीक करने में धीमे क्यों हैं (टेक रिपब्लिक)
  • अपने ऑन-प्रिमाइसेस डेटाबेस को सुरक्षा कमजोरियों से कैसे बचाएं (टेक रिपब्लिक)
  • साइबर सुरक्षा और साइबर युद्ध: अधिक अवश्य पढ़ें कवरेज (फ्लिपबोर्ड पर टेक रिपब्लिक)
  • Leave a Reply

    Your email address will not be published.

    %d bloggers like this: