खतरनाक "Log4j" सुरक्षा भेद्यता Apple से लेकर Minecraft तक सभी को प्रभावित करती है

शून्य दिन शोषण लगभग उतने ही बुरे होते हैं, खासकर तब जब उन्हें Apache की Log4j लॉगिंग लाइब्रेरी जैसे सर्वव्यापी सॉफ़्टवेयर में पहचाना जाता है। एक प्रूफ-ऑफ-कॉन्सेप्ट शोषण ऑनलाइन साझा किया गया था जो सभी को संभावित रिमोट कोड निष्पादन (आरसीई) हमलों के संपर्क में लाता है, और इसने वेब पर कुछ सबसे बड़ी सेवाओं को प्रभावित किया है। इस शोषण की पहचान "सक्रिय रूप से शोषण किए जाने" के रूप में की गई है, और यह हाल के वर्षों में सार्वजनिक किए जाने वाले सबसे खतरनाक कारनामों में से एक है।

Log4j अपाचे सॉफ्टवेयर फाउंडेशन द्वारा विकसित एक लोकप्रिय जावा-आधारित लॉगिंग पैकेज है, और सीवीई-2021-44228 संस्करण 2.0-बीटा-9 और संस्करण 2.14.1 के बीच Log4j के सभी संस्करणों को प्रभावित करता है। इसे लाइब्रेरी के नवीनतम संस्करण में पैच कर दिया गया है, संस्करण 2.15.0, कुछ दिन पहले जारी किया गया। कई सेवाएँ और एप्लिकेशन Log4j पर निर्भर हैं, जिनमें Minecraft जैसे गेम भी शामिल हैं, जहाँ पहली बार भेद्यता की खोज की गई थी। स्टीम और ऐप्पल आईक्लाउड जैसी क्लाउड सेवाएं भी असुरक्षित पाई गईं, और यह संभावना है कि अपाचे स्ट्रट्स का उपयोग करने वाला कोई भी व्यक्ति ऐसा ही हो। यहां तक ​​कि iPhone का नाम बदलने से भी Apple के सर्वर पर भेद्यता देखी गई।

यह भेद्यता थी की खोज की अलीबाबा क्लाउड सुरक्षा टीम के चेन झाओजुन द्वारा। उपयोगकर्ता-नियंत्रित स्ट्रिंग्स को लॉग करने वाली कोई भी सेवा शोषण के प्रति संवेदनशील थी। संभावित प्लेटफ़ॉर्म दुरुपयोग का पता लगाने के लिए सिस्टम प्रशासकों द्वारा उपयोगकर्ता-नियंत्रित स्ट्रिंग्स की लॉगिंग एक सामान्य अभ्यास है, हालांकि वे फिर स्ट्रिंग्स को "स्वच्छ" किया जाना चाहिए - उपयोगकर्ता इनपुट को साफ करने की प्रक्रिया यह सुनिश्चित करने के लिए कि सॉफ़्टवेयर के लिए कुछ भी हानिकारक नहीं है प्रस्तुत।

Log4Shell के प्रतिद्वंदी इसकी गंभीरता में हार्टब्लीड हैं

इस शोषण को "Log4Shell" करार दिया गया है, क्योंकि यह एक अप्रमाणित RCE भेद्यता है जो संपूर्ण सिस्टम अधिग्रहण की अनुमति देती है। वहाँ पहले से ही एक है अवधारणा का प्रमाण ऑनलाइन शोषण, और यह प्रदर्शित करना हास्यास्पद रूप से आसान है कि यह DNS लॉगिंग सॉफ़्टवेयर के उपयोग के माध्यम से काम करता है। अगर आपको याद है ह्रदय विदारक कई साल पहले की भेद्यता, जब गंभीरता की बात आती है तो Log4Shell निश्चित रूप से इसे कड़ी चुनौती देता है।

"हार्टब्लीड और शेलशॉक जैसी अन्य हाई-प्रोफाइल कमजोरियों के समान, हम वहां विश्वास करते हैं आने वाले हफ्तों में खोजे जाने वाले कमजोर उत्पादों की संख्या में वृद्धि होगी," रैंडोरी अटैक टीम अपने ब्लॉग में कहा आज। उन्होंने कहा, "शोषण में आसानी और प्रयोज्यता की व्यापकता के कारण, हमें संदेह है कि रैंसमवेयर अभिनेता तुरंत इस भेद्यता का लाभ उठाना शुरू कर देंगे।" दुर्भावनापूर्ण अभिनेता पहले से ही वेब को बड़े पैमाने पर स्कैन कर रहे हैं ताकि शोषण करने के लिए सर्वर ढूंढ सकें (के माध्यम से)। ब्लिपिंग कंप्यूटर).

"कई, कई सेवाएँ इस शोषण के प्रति संवेदनशील हैं। स्टीम, ऐप्पल आईक्लाउड जैसी क्लाउड सेवाएं और माइनक्राफ्ट जैसे ऐप्स पहले ही असुरक्षित पाए गए हैं," लूनासेक लिखा. "अपाचे स्ट्रट्स का उपयोग करने वाला कोई भी व्यक्ति संभवतः असुरक्षित है। हमने 2017 इक्विफैक्स डेटा उल्लंघन जैसे उल्लंघनों में पहले भी इसी तरह की कमजोरियों का फायदा उठाया है।" लूनासेक ने यह भी कहा कि जावा संस्करण 6u211, 7u201, 8u191, और 11.0.1 से अधिक सैद्धांतिक रूप से कम प्रभावित हैं, हालांकि हैकर्स अभी भी इसके आसपास काम करने में सक्षम हो सकते हैं सीमाएँ.

भेद्यता को iPhone के नाम जैसी सांसारिक चीज़ से ट्रिगर किया जा सकता है, जो दर्शाता है कि Log4j वास्तव में हर जगह है। यदि एक जावा क्लास को यूआरएल के अंत में जोड़ा जाता है, तो उस क्लास को सर्वर प्रक्रिया में इंजेक्ट किया जाएगा। Log4j के हाल के संस्करणों वाले सिस्टम प्रशासक अपने JVM को निम्नलिखित तर्क के साथ निष्पादित कर सकते हैं ताकि भेद्यता का शोषण होने से रोका जा सके, जब तक वे कम से कम Log4j 2.10 पर हैं.

-Dlog4j2.formatMsgNoLookups=true

CERT NZ (न्यूजीलैंड की राष्ट्रीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम) ने एक सुरक्षा सलाहकार चेतावनी जारी की है जंगली में सक्रिय शोषण, और इसकी पुष्टि भी की गई है गठबंधन इंजीनियरिंग निदेशक - सुरक्षा टियागो हेनरिक्स और सुरक्षा विशेषज्ञ केविन ब्यूमोंट. क्लाउडफ़ेयर द्वारा भी भेद्यता को इतना खतरनाक माना गया है कि सभी ग्राहकों को डिफ़ॉल्ट रूप से "कुछ" सुरक्षा प्रदान की जाती है।

यह एक अविश्वसनीय रूप से खतरनाक कारनामा है और ऑनलाइन तबाही मचा सकता है। आगे क्या होता है इस पर हम कड़ी नजर रखेंगे।