मुख्य तथ्य
- हैकर्स ने व्यापक रूप से उपयोग की जाने वाली जावा लॉगिंग लाइब्रेरी में एक कारनामे का खुलासा करते हुए एक कोड पोस्ट किया।
- साइबर सुरक्षा अधिकारियों ने शोषक सर्वर और सेवाओं की तलाश में पूरे वेब पर बड़े पैमाने पर स्कैनिंग देखी।
-
साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) ने विक्रेताओं और उपयोगकर्ताओं से अपने सॉफ़्टवेयर और सेवाओं को तत्काल पैच और अपडेट करने का आग्रह किया है।
एक लोकप्रिय जावा लॉगिंग लाइब्रेरी, Log4j में आसानी से शोषण योग्य भेद्यता के कारण साइबर सुरक्षा परिदृश्य में आग लग गई है। यह हर लोकप्रिय सॉफ्टवेयर और सेवा द्वारा उपयोग किया जाता है और शायद पहले से ही रोजमर्रा के डेस्कटॉप और स्मार्टफोन उपयोगकर्ता को प्रभावित करना शुरू कर दिया है।
साइबर सुरक्षा विशेषज्ञ लॉग4j शोषण के लिए कई तरह के उपयोग के मामलों को देख रहे हैं, जो पहले से ही डार्क वेब पर दिखाई देने लगे हैं, जिसमें Minecraft सर्वर के शोषण से लेकर अधिक हाई-प्रोफाइल मुद्दों तक शामिल हैं, जो उनका मानना है कि संभावित रूप से Apple iCloud को प्रभावित कर सकते हैं।
"इस Log4j भेद्यता का एक ट्रिकल-डाउन प्रभाव है, जो सभी बड़े सॉफ़्टवेयर प्रदाताओं को प्रभावित करता है जो इस घटक का उपयोग अपने एप्लिकेशन पैकिंग के हिस्से के रूप में कर सकते हैं," हंट्रेस के वरिष्ठ सुरक्षा शोधकर्ता जॉन हैमंड ने ईमेल के माध्यम से लाइफवायर को बताया। "सुरक्षा समुदाय ने ऐप्पल, ट्विटर, टेस्ला, [और] क्लाउडफ्लेयर जैसे अन्य प्रौद्योगिकी निर्माताओं से कमजोर अनुप्रयोगों को उजागर किया है। जैसा कि हम बोलते हैं, उद्योग अभी भी विशाल हमले की सतह की खोज कर रहा है और इस भेद्यता का जोखिम उठाता है।"
छेद में आग
सीवीई-2021-44228 के रूप में ट्रैक की गई भेद्यता और लॉग4शेल डब की गई, सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) में 10 का उच्चतम गंभीरता स्कोर है।
ग्रेनोइस, जो नोट के सुरक्षा संकेतों को लेने के लिए इंटरनेट ट्रैफ़िक का विश्लेषण करता है, ने पहली बार 9 दिसंबर, 2021 को इस भेद्यता के लिए गतिविधि देखी। तभी हथियारयुक्त प्रूफ-ऑफ-कॉन्सेप्ट कारनामे (PoCs) दिखाई देने लगे, जिससे एक 10 दिसंबर, 2021 को और सप्ताहांत तक स्कैनिंग और सार्वजनिक शोषण में तेजी से वृद्धि।
Log4j को DevOps फ्रेमवर्क और एंटरप्राइज़ IT सिस्टम और एंड-यूज़र सॉफ़्टवेयर और लोकप्रिय क्लाउड एप्लिकेशन के व्यापक सेट में एकीकृत किया गया है।
भेद्यता की गंभीरता की व्याख्या करते हुए, क्लाउडसेक के एक खतरे के विश्लेषक अनिरुद्ध बत्रा ने ईमेल के माध्यम से लाइफवायर को बताया कि एक धमकी देने वाला अभिनेता रिमोट सर्वर पर कोड चलाने के लिए इसका फायदा उठा सकता है।
"इसने Minecraft जैसे लोकप्रिय खेलों को भी असुरक्षित बना दिया है। एक हमलावर केवल चैटबॉक्स में एक पेलोड पोस्ट करके इसका फायदा उठा सकता है। न केवल Minecraft, बल्कि iCloud [और] स्टीम जैसी अन्य लोकप्रिय सेवाएं भी असुरक्षित हैं," बत्रा ने समझाया, "आईफोन में भेद्यता को ट्रिगर करना डिवाइस का नाम बदलने जितना आसान है।"
हिमखंड की नोक
साइबर सुरक्षा कंपनी टेनेबल का सुझाव है कि क्योंकि Log4j कई वेब अनुप्रयोगों में शामिल है, और विभिन्न क्लाउड सेवाओं द्वारा उपयोग किया जाता है, कुछ समय के लिए भेद्यता के पूर्ण दायरे का पता नहीं चलेगा।
कंपनी एक गिटहब रिपॉजिटरी की ओर इशारा करती है जो प्रभावित सेवाओं को ट्रैक करती है, जो लेखन के समय लगभग तीन दर्जन निर्माताओं और सेवाओं को सूचीबद्ध करती है, जिनमें Google, लिंक्डइन, वीबेक्स, ब्लेंडर और अन्य जैसे पहले उल्लेख किए गए लोकप्रिय शामिल हैं।
जैसा कि हम बोलते हैं, उद्योग अभी भी विशाल हमले की सतह की खोज कर रहा है और इस भेद्यता का जोखिम उठाता है।
अब तक अधिकांश गतिविधियां स्कैन की जा रही हैं, लेकिन शोषण और शोषण के बाद की गतिविधियां भी देखी गई हैं।
"Microsoft ने कॉइन माइनर्स स्थापित करने, क्रेडेंशियल चोरी और पार्श्व संचलन को सक्षम करने के लिए कोबाल्ट स्ट्राइक, और समझौता किए गए सिस्टम से डेटा को बाहर निकालने सहित गतिविधियों को देखा है," Microsoft थ्रेट इंटेलिजेंस सेंटर लिखता है।
बैटन डाउन द हैच
तो इसमें कोई आश्चर्य की बात नहीं है कि Log4j के शोषण में आसानी और व्यापकता के कारण, ग्रेनोइस के संस्थापक और सीईओ एंड्रयू मॉरिस ने लाइफवायर को बताया कि उनका मानना है कि अगले कुछ दिनों में शत्रुतापूर्ण गतिविधि में वृद्धि जारी रहेगी।
हालांकि, अच्छी खबर यह है कि कमजोर पुस्तकालय के डेवलपर्स अपाचे ने शोषण को रोकने के लिए एक पैच जारी किया है। लेकिन अब यह अलग-अलग सॉफ्टवेयर निर्माताओं पर निर्भर है कि वे अपने ग्राहकों की सुरक्षा के लिए अपने संस्करणों में बदलाव करें।
कुणाल आनंद, साइबर सुरक्षा कंपनी इम्पर्वा के सीटीओ, ईमेल पर लाइफवायर को बताते हैं कि वर्तमान में भेद्यता का शोषण करने वाले अधिकांश प्रतिकूल अभियान उद्यम उपयोगकर्ताओं के लिए निर्देशित हैं, अंतिम उपयोगकर्ताओं को सतर्क रहने और यह सुनिश्चित करने की आवश्यकता है कि वे अपने प्रभावित सॉफ़्टवेयर को अपडेट करें जैसे ही पैच उपलब्ध होते हैं।
साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) के निदेशक जेन ईस्टरली द्वारा इस भावना को प्रतिध्वनित किया गया था।
"अंतिम उपयोगकर्ता अपने विक्रेताओं पर निर्भर होंगे, और विक्रेता समुदाय को इस सॉफ़्टवेयर का उपयोग करके उत्पादों की विस्तृत श्रृंखला को तुरंत पहचानना, कम करना और पैच करना चाहिए। अंतिम उपयोगकर्ताओं को यह सुनिश्चित करने के लिए विक्रेताओं को अपने ग्राहकों के साथ संवाद भी करना चाहिए। कि उनके उत्पाद में यह भेद्यता है और उन्हें सॉफ़्टवेयर अद्यतनों को प्राथमिकता देनी चाहिए," ईस्टरली ने एक बयान के माध्यम से कहा।
