Log4j भेद्यता: यह क्या है और सुरक्षित कैसे रहें?

में एक बहुत ही गंभीर दोष Apache Log4j, बुलाया लॉग4शेल, अब इंटरनेट पर सबसे हाई-प्रोफाइल सुरक्षा भेद्यता बन गई है a 10/10 . का गंभीरता स्कोर . Log4j अनुप्रयोगों में त्रुटि संदेशों को लॉग करने के लिए एक ओपन-सोर्स जावा लाइब्रेरी है, जिसका व्यापक रूप से अनगिनत तकनीकी फर्मों द्वारा उपयोग किया जाता है।

इसके बाद से, प्रमुख तकनीकी कंपनियों की सेवाएं वर्तमान में सुरक्षा विशेषज्ञों द्वारा हाल के इतिहास में सबसे महत्वपूर्ण खामियों में से एक कह रही हैं। यह दोष हैकर्स को कंप्यूटर सिस्टम तक अनियंत्रित पहुंच की अनुमति देने में सक्षम है।

Microsoft की हालिया रिपोर्ट के अनुसार, हमलावरों के कम से कम एक दर्जन समूह पहले से ही सिस्टम क्रेडेंशियल्स को चुराने, प्रोन सिस्टम पर क्रिप्टो खनिक स्थापित करने, डेटा चोरी करने और समझौता किए गए नेटवर्क के भीतर गहरी खुदाई करने के लिए दोष का फायदा उठाने की कोशिश कर रहे हैं।

दोष इतना गंभीर है कि अमेरिकी सरकार की साइबर सुरक्षा एजेंसी ने सभी कमजोर कंपनियों को तत्काल चेतावनी जारी की है, और उन्हें तुरंत प्रभावी कदम उठाने का सुझाव दिया है। इस ज़ीरो-डे भेद्यता के बारे में सब कुछ पता करें- Log4j विस्तार से, और आप इससे कैसे सुरक्षित रह सकते हैं।

अद्यतन : दूसरा Log4j भेद्यता का पता चला; पैच जारी

मंगलवार को, Apache Log4j से जुड़ी एक दूसरी भेद्यता की खोज की गई थी। यह साइबर सुरक्षा विशेषज्ञों द्वारा पहले वाले को पैच या कम करने के लिए दिन बिताने के बाद आता है। इस भेद्यता का आधिकारिक नाम CVE 2021-45046 है।

विवरण बताता है कि Apache Log4j 2.15.0 में CVE-2021-44228 को संबोधित करने का फिक्स कुछ गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन में अधूरा था। यह हमलावरों... को जेएनडीआई लुकअप पैटर्न का उपयोग करके दुर्भावनापूर्ण इनपुट डेटा को तैयार करने की अनुमति दे सकता है जिसके परिणामस्वरूप सेवा से इनकार (डॉस) हमला होता है।

अंतर्राष्ट्रीय सुरक्षा कंपनी ESET एक नक्शा प्रस्तुत करती है जिसमें दिखाया गया है कि Log4j शोषण कहाँ हो रहा है।

छवि स्रोत: मामला

अच्छी बात यह है कि अपाचे ने इस मुद्दे को हल करने और ठीक करने के लिए पहले से ही एक पैच, Log4j 2.16.0 जारी किया है। नवीनतम पैच संदेश लुकअप पैटर्न के समर्थन को हटाकर और डिफ़ॉल्ट रूप से जेएनडीआई कार्यक्षमता को अक्षम करके समस्या का समाधान करता है।

Log4j भेद्यता क्या है?

Log4j भेद्यता, जिसे Log4Shell भी कहा जाता है, Logj4 जावा लाइब्रेरी के साथ एक समस्या है जो शोषकों को मनमाने कोड को नियंत्रित करने और निष्पादित करने और कंप्यूटर सिस्टम तक पहुंच प्राप्त करने की अनुमति देती है। इस भेद्यता का आधिकारिक नाम है सीवीई-2021-44228 .

Log4j अपाचे द्वारा बनाई गई एक ओपन-सोर्स जावा लाइब्रेरी है, जो एक एप्लिकेशन में सभी गतिविधियों का रिकॉर्ड रखने के लिए जिम्मेदार है। सॉफ्टवेयर डेवलपर इसे अपने अनुप्रयोगों के लिए व्यापक रूप से उपयोग करते हैं। इसलिए, यहां तक ​​​​कि माइक्रोसॉफ्ट, ट्विटर और ऐप्पल जैसी सबसे बड़ी टेक कंपनियों पर भी इस समय हमले होने का खतरा है।

Log4j भेद्यता कैसे खोजी या पाई गई?

Log4Shell (Log4j) भेद्यता की खोज सबसे पहले Microsoft के स्वामित्व वाले Minecraft में LunaSec के शोधकर्ताओं ने की थी। बाद में, शोधकर्ताओं ने महसूस किया कि यह एक Minecraft गड़बड़ नहीं है और LunaSec ने चेतावनी दी है कि Log4j की सर्वव्यापी उपस्थिति के कारण कई, कई सेवाएं इस शोषण की चपेट में हैं

तब से, कई रिपोर्टें इसे हाल के दिनों में सबसे गंभीर खामियों में से एक के रूप में करार दे रही हैं, और एक दोष जो आने वाले वर्षों में इंटरनेट को प्रभावित करेगा।

Log4j भेद्यता क्या कर सकती है?

Log4j भेद्यता हैकर्स/हमलावरों/शोषक को सिस्टम तक पूर्ण पहुंच प्रदान करने में सक्षम है। अप्रतिबंधित पहुंच प्राप्त करने के लिए उन्हें बस एक मनमाना कोड निष्पादित करना होगा। जब वे सिस्टम में ठीक से हेरफेर करते हैं तो यह दोष उन्हें सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति भी दे सकता है।

सीवीई (सामान्य भेद्यता और एक्सपोजर) पुस्तकालय में दोष की तकनीकी परिभाषा में कहा गया है कि एक हमलावर जो लॉग संदेशों या लॉग संदेश पैरामीटर को नियंत्रित कर सकता है, संदेश लुकअप प्रतिस्थापन सक्षम होने पर एलडीएपी सर्वर से लोड किए गए मनमाने कोड को निष्पादित कर सकता है।

इसलिए, इंटरनेट हाई अलर्ट पर है क्योंकि शोषक लगातार कमजोर प्रणालियों को लक्षित करने की कोशिश कर रहे हैं।

Log4j भेद्यता के जोखिम में कौन से उपकरण और अनुप्रयोग हैं?

Log4j भेद्यता किसी भी ऐसे कुटिल व्यक्ति के लिए गंभीर है जो Apache Log4J संस्करण 2.0 से 2.14.1 चला रहा है और जिसकी इंटरनेट तक पहुंच है। NCSC के अनुसार, Apache Struts2, Solr, Druid, Flink, और Swift फ्रेमवर्क में स्नेह संस्करण (Log4j संस्करण 2 या Log4j2) शामिल हैं।

यह ऐप्पल के आईक्लाउड, माइक्रोसॉफ्ट के माइनक्राफ्ट, ट्विटर, स्टीम, टेनसेंट, गूगल, अमेज़ॅन, क्लाउडफेयर, नेटएज़, वीबेक्स, लिंक्डइन, आदि जैसे तकनीकी दिग्गजों सहित बड़ी संख्या में सेवाएं प्रदान करता है।

यह भेद्यता इतनी गंभीर क्यों है और इससे निपटना गंभीर रूप से कठिन क्यों है?

यह भेद्यता इतनी गंभीर है कि हैकर्स अपाचे Log4j2 का उपयोग करके गंभीर रूप से कमजोर सिस्टम का फायदा उठाने के लिए प्रति मिनट 100 से अधिक बार प्रयास कर रहे हैं। इससे लाखों फर्मों को साइबर चोरी का खतरा है।

रिपोर्ट्स के मुताबिक सिर्फ भारत में ही इस खामी ने 41% कॉरपोरेट्स को हैक होने का खतरा बना दिया है। चेक प्वाइंट रिसर्च ने कहा है कि उसने दोष का फायदा उठाने वाले 846,000 से अधिक हमलों का पता लगाया है।

क्रिप्टोस लॉजिक जो एक सुरक्षा फर्म है, ने घोषणा की है कि इसने इंटरनेट को स्कैन करते हुए 10,000 से अधिक विभिन्न आईपी पतों की खोज की है, और यह लॉगशेल की जांच करने वाले सिस्टम की मात्रा का 100 गुना है। .

यह भेद्यता इतनी बड़ी है क्योंकि अपाचे सबसे व्यापक रूप से उपयोग किया जाने वाला वेब सर्वर है, और Log4j सबसे लोकप्रिय जावा लॉगिंग पैकेज है। इसके केवल GitHub रिपॉजिटरी से 400,000 से अधिक डाउनलोड हैं।

Log4j भेद्यता से कैसे सुरक्षित रहें?

नवीनतम उपयोगकर्ताओं के अनुसार, Apache Log4j 2.15.0 और इसके बाद के संस्करण पर सभी के लिए समस्याओं को ठीक कर रहा है क्योंकि वे डिफ़ॉल्ट रूप से व्यवहार को अक्षम कर रहे हैं। विशेषज्ञ इस खतरे के जोखिम को कम से कम कैसे करें और सिस्टम की सुरक्षा कैसे करें, इस पर लगातार ध्यान देने की कोशिश कर रहे हैं। माइक्रोसॉफ्ट और सिस्को ने भी इस खामी के लिए एडवाइजरी जारी की है।

LunaSec ने उल्लेख किया है कि Minecraft ने पहले ही कहा है कि उपयोगकर्ता किसी भी समस्या से बचने के लिए गेम को अपडेट कर सकते हैं। अन्य ओपन-सोर्स प्रोजेक्ट जैसे पेपर भी समस्या को ठीक करने के लिए पैच जारी कर रहे हैं .

सिस्को और वीएमवेयर ने भी अपने प्रभावित उत्पादों के लिए पैच जारी किए हैं। अधिकांश बड़ी प्रौद्योगिकी कंपनियों ने अब इस मुद्दे को सार्वजनिक रूप से संबोधित किया है और अपने उपयोगकर्ताओं के साथ-साथ कर्मचारियों के लिए सुरक्षा उपायों की पेशकश की है। बस उन्हें सख्ती से पालन करने की जरूरत है।

Log4j भेद्यता के बारे में विशेषज्ञ क्या कह रहे हैं?

Log4j भेद्यता ने सप्ताहांत में सिस्टम प्रशासकों और सुरक्षा पेशेवरों को भ्रमित कर दिया है। सिस्को और क्लाउडफ्लेयर ने बताया है कि हैकर्स इस महीने की शुरुआत से ही इस बग का फायदा उठा रहे हैं। हालांकि, गुरुवार को अपाचे द्वारा किए गए खुलासे के बाद संख्या में भारी वृद्धि हुई।

आमतौर पर, फर्म निजी तौर पर ऐसी खामियों से निपटती हैं। लेकिन, इस भेद्यता के प्रभाव की सीमा इतनी विशाल थी कि कंपनियों को इसे सार्वजनिक रूप से संबोधित करना पड़ा। यहां तक ​​कि अमेरिकी सरकार की साइबर सुरक्षा विंग ने भी गंभीर चेतावनी जारी की थी।

शनिवार को यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी के निदेशक जेन ईस्टरली ने कहा है कि भेद्यता पहले से ही 'खतरे वाले अभिनेताओं के बढ़ते सेट' द्वारा उपयोग की जा रही है, यह दोष सबसे गंभीर में से एक है जिसे मैंने अपने पूरे करियर में देखा है, यदि सबसे गंभीर नहीं है।

एक स्वतंत्र सुरक्षा शोधकर्ता क्रिस फ्रोहॉफ का कहना है कि यह लगभग तय है कि वर्षों तक लोग नए कमजोर सॉफ्टवेयर की लंबी पूंछ की खोज करेंगे क्योंकि वे शोषण के तार लगाने के लिए नई जगहों के बारे में सोचते हैं। यह संभवत: लंबे समय तक कस्टम एंटरप्राइज़ ऐप्स के आकलन और प्रवेश परीक्षणों में दिखाई देगा।

विशेषज्ञों का मानना ​​​​है कि भेद्यता के आसन्न स्थायी प्रभाव के बारे में जागरूक होना महत्वपूर्ण है, लेकिन पहली प्राथमिकता नुकसान को कम करने के लिए जितना संभव हो उतना कदम उठाना चाहिए।

जैसा कि हमलावर अब अधिक से अधिक सिस्टम खोजने और उनका शोषण करने के लिए और अधिक रचनात्मक तरीकों की तलाश करेंगे, यह डरावना दोष आने वाले वर्षों तक इंटरनेट पर विनाश का कारण बनता रहेगा!