Log4j भेद्यताएं जमा हो रही हैं क्योंकि कंपनियां पैच करने के लिए हाथापाई कर रही हैं

Dec 21 2021
log4j द्वारा प्रेरित विशाल संकट अभी समाप्त नहीं हुआ है—करीब भी नहीं। पिछले एक हफ्ते में, दुर्भाग्यपूर्ण अपाचे लॉगिंग लाइब्रेरी में नई कमजोरियों की खोज की गई है (जिनकी सर्वव्यापी भेद्यता को इन्फोसेक दुनिया में "लॉग4शेल" कहा जाता है) लेकिन, विशेषज्ञों के अनुसार, पूरी तरह से घबराने की जरूरत नहीं है।

log4j द्वारा प्रेरित विशाल संकट अभी समाप्त नहीं हुआ है—करीब भी नहीं। पिछले एक हफ्ते में, दुर्भाग्यपूर्ण अपाचे लॉगिंग लाइब्रेरी में नई कमजोरियों की खोज की गई है (जिनकी सर्वव्यापी भेद्यता को इन्फोसेक दुनिया में "लॉग4शेल" कहा जाता है) लेकिन, विशेषज्ञों के अनुसार, पूरी तरह से घबराने की जरूरत नहीं है। यहां नवीनतम घटनाओं पर एक त्वरित नज़र डालें और सुरक्षा पेशेवर कैसे प्रतिक्रिया दे रहे हैं।

सॉफ़्टवेयर पैचिंग हमेशा एक बहुत ही सीधी प्रक्रिया नहीं होती है, और यह log4j फ़ाइस्को की तुलना में कहीं अधिक स्पष्ट नहीं है। पिछले एक हफ्ते में, अपाचे ने कई पैच जारी किए हैं, लेकिन प्रत्येक लगातार पैच के साथ, अतिरिक्त समस्याएं सामने आई हैं।

शुक्रवार को, अपाचे ने अपना तीसरा पैच, संस्करण 2.17.0 जारी किया , जिसका उद्देश्य एक नई खोजी गई भेद्यता को ठीक करना था, जिसने सेवा हमलों से इनकार करने की अनुमति दी होगी (उस नए दोष को आधिकारिक तौर पर CVE-2021-45105 के रूप में ट्रैक किया जा रहा है )।

पिछला पैच, 2.16.0 , 2.15.0 के बाद जारी किया गया था - मूल पैच - एक दूरस्थ हमले के शोषण को कम करने में विफल रहा था, जो कुछ मामलों में, डेटा की चोरी के लिए अनुमति दे सकता था। दूसरे शब्दों में, जो पैच मूल भेद्यता को ठीक करने के लिए था, उसकी अपनी भेद्यता थी और उस पैच को ठीक करने वाले पैच में भी समस्याएँ थीं। अच्छी चीज़।

कुछ विशेषज्ञों के अनुसार, इन सभी ने कहा, ये नई सुरक्षा खामियां मूल जितनी गंभीर नहीं हैं और बहुत अधिक नींद खोने के लिए कुछ नहीं होना चाहिए।


यह मूल भेद्यता है, CVE-2021-44228 , जिसे - अगर अप्रकाशित छोड़ दिया जाता है - तो अभी भी साइबर सुरक्षा दुःस्वप्न का सामान है।

इस गाथा में एक और रंगीन घटना सुरक्षा पेशेवरों के बीच हाल ही में हुई बहस थी कि क्या log4j ने एक कीड़ा को जन्म दिया है या नहीं।

रविवार को, एक सुरक्षा शोधकर्ता, जर्मन फर्नांडीज  ने दावा किया कि उसने एक कीड़ा देखा है - एक दुर्भावनापूर्ण, स्व-प्रसार कार्यक्रम - जो उन उपकरणों को प्रभावित कर रहा था जिन्होंने log4j भेद्यता को पैच नहीं किया था। वीएक्स अंडरग्राउंड, मैलवेयर के नमूनों और संबंधित शिक्षाविदों का एक बड़ा ऑनलाइन भंडार, ने शोधकर्ता के निष्कर्षों को साझा किया: "सुरक्षा शोधकर्ता @ 1ZRR4H ने पहले Log4J वर्म की पहचान की है। यह एक स्व-प्रसारित मिराई बॉट है। हमने नमूना एकत्र किया है, ”वीएक्स के अकाउंट ने ट्वीट किया । एक अन्य सुरक्षा शोधकर्ता ग्रेग लिनारेस ने कहा कि ऐसा लगता है कि दुर्भावनापूर्ण कार्यक्रम मुख्य रूप से बिना पैच वाले हुआवेई राउटर को लक्षित कर रहा था।

हालांकि, अन्य विशेषज्ञों ने इन दावों में से कुछ पर जल्दी से ठंडा पानी फेंक दिया- यह इंगित करते हुए कि कार्यक्रम इतना कार्यात्मक नहीं लग रहा था और तकनीकी रूप से एक कीड़ा के रूप में योग्य भी नहीं हो सकता है। एक प्रमुख साइबर सुरक्षा शोधकर्ता मार्कस हचिन्स ने ट्वीट किया , "मैंने इस कथित log4j वर्म को रिवर्स इंजीनियर किया है और यह बिल्कुल भी काम नहीं करता है ।" "कोड में कई बग भी हैं, जिसका मतलब है कि भले ही उन्होंने कोर विफलता को ठीक कर दिया हो, फिर भी यह पूरी तरह से अप्रभावी होगा।"


सुरक्षा विशेषज्ञों ने इसी तरह log4j के संदर्भ में एक कीड़ा कितना गंभीर हो सकता है, इस पर विवाद किया है। VMware के साइबर सुरक्षा रणनीति के प्रमुख टॉम केलरमैन ने हाल ही में ZDnet को बताया कि एक कीड़ा एक शत्रुतापूर्ण विदेशी शक्ति या खुफिया सेवा द्वारा संभावित रूप से "हथियार" हो सकता है - जिसका अंतिम परिणाम बहुत खराब हो सकता है।

इस बीच, log4j के उद्देश्य से शोषण के प्रयासों का एक विस्फोट हमले की नई रणनीतियों को प्रकट करना जारी रखता है।

सोमवार को, बेल्जियम के रक्षा मंत्रालय ने खुलासा किया कि एक हैकर समूह द्वारा अपने सिस्टम में प्रवेश पाने के लिए log4j का शोषण करने के बाद उसे अपने नेटवर्क के कुछ हिस्सों को बंद करने के लिए मजबूर किया गया था। हालांकि इस घटना के बारे में और कुछ नहीं बताया गया है, यह अभी तक के सबसे अधिक दिखाई देने वाले उदाहरणों में से एक है जिसका उपयोग वास्तविक दुनिया को नुकसान पहुंचाने के लिए किया जा रहा है। यह निश्चित रूप से आखिरी नहीं होगा।

दरअसल, हाल की रिपोर्टें वित्तीय रूप से प्रेरित अपराध समूहों को मैदान में शामिल करती हैं-जिसमें बैंकिंग ट्रोजन भी शामिल हैं। इसके अलावा, रैंसमवेयर गिरोह, राष्ट्र-राज्य साइबर-जासूसी गतिविधि और क्रिप्टो-माइनिंग भी सभी को देखा गया है। आरंभिक एक्सेस ब्रोकर -साइबर क्रिमिनल्स जो उपकरणों और कंप्यूटर नेटवर्क को हैक करने और अन्य अपराधियों (ज्यादातर रैंसमवेयर हैकर्स) तक पहुंच को बेचने के इरादे से हैक करते हैं-लॉग 4j-कमजोर सिस्टम को लूट रहे हैं। माइक्रोसॉफ्ट की सुरक्षा टीम ने पिछले हफ्ते शोध प्रकाशित किया जिसमें दिखाया गया कि "एक्सेस ब्रोकर्स के रूप में कार्य करने वाले कई ट्रैक किए गए गतिविधि समूहों ने लक्षित नेटवर्क तक प्रारंभिक पहुंच प्राप्त करने के लिए भेद्यता का उपयोग करना शुरू कर दिया है।"

संक्षेप में: मज़ा जारी है! जैसे ही यह सामने आएगा हम इस पूरे संकट के व्यापक बदलावों को ट्रैक करना जारी रखेंगे।