Log4J सुरक्षा भेद्यता आपको कैसे जोखिम में डालती है

December 13, 2021
मेंसमाचार इंटरनेट सुरक्षा

चाबी छीनना

हैकर्स ने व्यापक रूप से उपयोग की जाने वाली जावा लॉगिंग लाइब्रेरी में एक कारनामे का खुलासा करते हुए एक कोड पोस्ट किया।
साइबर सुरक्षा अधिकारियों ने शोषक सर्वर और सेवाओं की तलाश में पूरे वेब पर बड़े पैमाने पर स्कैनिंग देखी।
साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने विक्रेताओं और उपयोगकर्ताओं से अपने सॉफ़्टवेयर और सेवाओं को तत्काल पैच और अपडेट करने का आग्रह किया है।

काले रंग की पृष्ठभूमि पर संख्याओं से बने इलेक्ट्रॉनिक सर्किट सुरक्षा पैडलॉक की डिजिटल जेनरेट की गई छवि। — एंड्री ओनुफ्रियेंको / गेट्टी छवियां

एक लोकप्रिय जावा लॉगिंग लाइब्रेरी, Log4j में आसानी से शोषण योग्य भेद्यता के कारण साइबर सुरक्षा परिदृश्य में आग लग गई है। यह हर लोकप्रिय सॉफ्टवेयर और सेवा द्वारा उपयोग किया जाता है और शायद पहले से ही रोजमर्रा के डेस्कटॉप और स्मार्टफोन उपयोगकर्ता को प्रभावित करना शुरू कर दिया है।

साइबर सुरक्षा विशेषज्ञ लॉग4j कारनामे के लिए कई तरह के उपयोग के मामले देख रहे हैं, जो पहले से ही डार्क वेब पर दिखाई देने लगे हैं, शोषण से लेकर Minecraft सर्वर अधिक हाई-प्रोफाइल मुद्दों के लिए उनका मानना है कि संभावित रूप से Apple iCloud को प्रभावित कर सकता है।

"इस Log4j भेद्यता का एक ट्रिकल-डाउन प्रभाव है, जो सभी बड़े सॉफ़्टवेयर प्रदाताओं को प्रभावित करता है जो इस घटक का उपयोग अपने एप्लिकेशन पैकिंग के हिस्से के रूप में कर सकते हैं,"

जॉन हैमंड, वरिष्ठ सुरक्षा शोधकर्ता शिकारिका, ईमेल के माध्यम से Lifewire को बताया। "सुरक्षा समुदाय ने ऐप्पल, ट्विटर, टेस्ला, [और] क्लाउडफ्लेयर जैसे अन्य प्रौद्योगिकी निर्माताओं से कमजोर अनुप्रयोगों को उजागर किया है। जैसा कि हम बोलते हैं, उद्योग अभी भी विशाल हमले की सतह की खोज कर रहा है और इस भेद्यता का जोखिम उठाता है।"

किसी बड़े विस्फोट की चेतावनी देना

भेद्यता के रूप में ट्रैक किया गया सीवीई-2021-44228 और डब किया गया Log4Shell, सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS) में 10 का उच्चतम गंभीरता स्कोर है।

ग्रे शोर, जो नोट के सुरक्षा संकेतों को लेने के लिए इंटरनेट ट्रैफ़िक का विश्लेषण करता है, पहली बार देखी गई गतिविधि 9 दिसंबर, 2021 को इस भेद्यता के लिए। जब हथियारयुक्त प्रूफ-ऑफ-कॉन्सेप्ट कारनामे (PoCs) दिखाई देने लगे, तो 10 दिसंबर, 2021 और सप्ताहांत के दौरान स्कैनिंग और सार्वजनिक शोषण में तेजी से वृद्धि हुई।

Log4j को DevOps फ्रेमवर्क और एंटरप्राइज़ IT सिस्टम के व्यापक सेट और एंड-यूज़र सॉफ़्टवेयर और लोकप्रिय क्लाउड एप्लिकेशन में भारी रूप से एकीकृत किया गया है।

कंप्यूटर कीबोर्ड पर क्लाउड कंप्यूटिंग कुंजी — सीताडे / गेट्टी छवियां

भेद्यता की गंभीरता को समझाते हुए, अनिरुद्ध बत्रा, एक खतरा विश्लेषक क्लाउडसेक, लाइफवायर को ईमेल के माध्यम से बताता है कि एक धमकी देने वाला अभिनेता रिमोट सर्वर पर कोड चलाने के लिए इसका फायदा उठा सकता है।

"इसने यहां तक कि लोकप्रिय खेलों को भी छोड़ दिया है जैसे Minecraft कमजोर भी। एक हमलावर सिर्फ चैटबॉक्स में पेलोड पोस्ट करके इसका फायदा उठा सकता है। न केवल Minecraft, लेकिन आईक्लाउड [और] स्टीम जैसी अन्य लोकप्रिय सेवाएं भी कमजोर हैं," बत्रा ने समझाया, "आईफोन में भेद्यता को ट्रिगर करना डिवाइस का नाम बदलने जितना आसान है।"

हिमशैल का शीर्ष

साइबर सुरक्षा कंपनी टेनेबल सुझाव क्योंकि Log4j कई वेब अनुप्रयोगों में शामिल है, और विभिन्न क्लाउड सेवाओं द्वारा उपयोग किया जाता है, कुछ समय के लिए भेद्यता का पूरा दायरा ज्ञात नहीं होगा।

कंपनी एक की ओर इशारा करती है गिटहब भंडार जो प्रभावित सेवाओं को ट्रैक करता है, जो लेखन के समय लगभग तीन दर्जन निर्माताओं को सूचीबद्ध करता है और सेवाएं, जिनमें Google, लिंक्डइन, वीबेक्स, ब्लेंडर, और अन्य उल्लेखित लोकप्रिय शामिल हैं पूर्व।

"जैसा कि हम बोलते हैं, उद्योग अभी भी विशाल हमले की सतह की खोज कर रहा है और इस भेद्यता का जोखिम उठाता है।"

अब तक, अधिकांश गतिविधि स्कैन कर रही है, लेकिन शोषण और शोषण के बाद की गतिविधियाँ भी देखी गई हैं।

"Microsoft ने सिक्का खनिकों को स्थापित करने, क्रेडेंशियल चोरी और पार्श्व आंदोलन को सक्षम करने के लिए कोबाल्ट स्ट्राइक, और समझौता किए गए सिस्टम से डेटा निकालने सहित गतिविधियों को देखा है," लिखता है माइक्रोसॉफ्ट थ्रेट इंटेलिजेंस सेंटर.

मुसीबत के लिये तैयारी

तो इसमें कोई आश्चर्य की बात नहीं है कि Log4j के शोषण में आसानी और व्यापकता के कारण, एंड्रयू मॉरिस, ग्रेनोइस के संस्थापक और सीईओ, लाइफवायर को बताते हैं कि उनका मानना है कि अगले कुछ दिनों में शत्रुतापूर्ण गतिविधि में वृद्धि जारी रहेगी।

हालाँकि, अच्छी खबर यह है कि कमजोर पुस्तकालय के डेवलपर्स अपाचे ने कारनामों को दूर करने के लिए एक पैच जारी किया है। लेकिन अब यह व्यक्तिगत सॉफ्टवेयर निर्माताओं पर निर्भर है कि वे अपने ग्राहकों की सुरक्षा के लिए अपने संस्करणों को पैच अप करें।

लैपटॉप के साथ काम कर रहे व्यक्ति के हाथों की क्लोज-अप तस्वीर — मैनुअल ब्रेवा कोलमेइरो / गेट्टी छवियां

कुणाल आनंद, साइबर सुरक्षा कंपनी के सीटीओ इम्पर्वा, लाइफवायर को ईमेल पर बताता है कि वर्तमान में भेद्यता का शोषण करने वाले अधिकांश प्रतिकूल अभियान की ओर निर्देशित है एंटरप्राइज़ उपयोगकर्ताओं, अंतिम-उपयोगकर्ताओं को सतर्क रहने की आवश्यकता है और सुनिश्चित करें कि पैच होते ही वे अपने प्रभावित सॉफ़्टवेयर को अपडेट कर दें उपलब्ध।

साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) के निदेशक जेन ईस्टरली ने भी इस भावना को प्रतिध्वनित किया।

"अंतिम उपयोगकर्ता अपने विक्रेताओं पर निर्भर होंगे, और विक्रेता समुदाय को इस सॉफ़्टवेयर का उपयोग करके उत्पादों की विस्तृत श्रृंखला को तुरंत पहचानना, कम करना और पैच करना होगा। विक्रेताओं को यह सुनिश्चित करने के लिए अपने ग्राहकों के साथ संवाद करना चाहिए कि अंतिम उपयोगकर्ताओं को पता है कि उनके उत्पाद में यह भेद्यता है और उन्हें सॉफ़्टवेयर अपडेट को प्राथमिकता देनी चाहिए," ईस्टरली ने एक के माध्यम से कहा बयान.