একটি খুব গুরুতর ত্রুটি Apache Log4j, ডাকা Log4Shell, এখন ইন্টারনেটে সবচেয়ে হাই-প্রোফাইল নিরাপত্তা দুর্বলতা হয়ে উঠেছে 10/10 এর তীব্রতা স্কোর . Log4j হল একটি ওপেন-সোর্স জাভা লাইব্রেরি যা অ্যাপ্লিকেশনগুলিতে ত্রুটি বার্তা লগ করার জন্য, যেটি অগণিত প্রযুক্তি সংস্থাগুলির দ্বারা ব্যাপকভাবে ব্যবহৃত হয়।
অতঃপর, প্রধান প্রযুক্তি সংস্থাগুলির পরিষেবাগুলি বর্তমানে ভুগছে যা নিরাপত্তা বিশেষজ্ঞরা সাম্প্রতিক ইতিহাসের সবচেয়ে গুরুতর ত্রুটিগুলির মধ্যে একটি বলে অভিহিত করছেন৷ এই ত্রুটি হ্যাকারদের কম্পিউটার সিস্টেমে অনিয়ন্ত্রিত অ্যাক্সেসের অনুমতি দিতে সক্ষম।
মাইক্রোসফ্টের সাম্প্রতিক প্রতিবেদন অনুসারে, আক্রমণকারীদের অন্তত এক ডজন গ্রুপ ইতিমধ্যে সিস্টেমের শংসাপত্র চুরি করতে, প্রবণ সিস্টেমে ক্রিপ্টো মাইনার ইনস্টল করতে, ডেটা চুরি করতে এবং আপোসকৃত নেটওয়ার্কগুলির মধ্যে আরও গভীর খননের জন্য ত্রুটিটি কাজে লাগানোর চেষ্টা করছে।
ত্রুটিটি এতটাই গুরুতর যে মার্কিন সরকারের সাইবার নিরাপত্তা সংস্থা সমস্ত ঝুঁকিপূর্ণ সংস্থাগুলির জন্য একটি জরুরি সতর্কতা জারি করেছে এবং তাদের অবিলম্বে কার্যকর পদক্ষেপ নেওয়ার পরামর্শ দিয়েছে৷ এই জিরো-ডে ভলনারেবিলিটি- Log4j সম্পর্কে বিস্তারিত এবং আপনি কীভাবে এটি থেকে নিরাপদ থাকতে পারেন সে সম্পর্কে সবকিছু খুঁজে বের করুন।
হালনাগাদ : দ্বিতীয় Log4j দুর্বলতা আবিষ্কৃত; প্যাচ মুক্তি
মঙ্গলবার, Apache Log4j জড়িত একটি দ্বিতীয় দুর্বলতা আবিষ্কৃত হয়েছে। সাইবারসিকিউরিটি বিশেষজ্ঞরা প্রথমটিকে প্যাচ বা প্রশমিত করতে দিন কাটিয়ে দেওয়ার পরে এটি আসে। এই দুর্বলতার অফিসিয়াল নাম হল CVE 2021-45046।
বিবরণে বলা হয়েছে যে Apache Log4j 2.15.0-এ CVE-2021-44228 ঠিকানার সংশোধন নির্দিষ্ট নন-ডিফল্ট কনফিগারেশনে অসম্পূর্ণ ছিল। এটি আক্রমণকারীদের অনুমতি দিতে পারে... একটি JNDI লুকআপ প্যাটার্ন ব্যবহার করে দূষিত ইনপুট ডেটা তৈরি করতে পারে যার ফলে পরিষেবা অস্বীকার করা হয় (DOS) আক্রমণ
আন্তর্জাতিক নিরাপত্তা কোম্পানি ESET একটি মানচিত্র উপস্থাপন করে যেখানে Log4j শোষণ হচ্ছে।
ইমেজ সোর্স: মামলা
ভাল জিনিস হল যে Apache ইতিমধ্যে একটি প্যাচ প্রকাশ করেছে, Log4j 2.16.0, এই সমস্যাটির সমাধান এবং সমাধান করতে। সর্বশেষ প্যাচ বার্তা লুকআপ প্যাটার্নের জন্য সমর্থন সরিয়ে এবং ডিফল্টরূপে JNDI কার্যকারিতা নিষ্ক্রিয় করে সমস্যার সমাধান করে।
Log4j দুর্বলতা কি?
Log4j দুর্বলতাকে Log4Shellও বলা হয় Logj4 Java লাইব্রেরির একটি সমস্যা যা শোষকদের নির্বিচারে কোড নিয়ন্ত্রণ ও কার্যকর করতে এবং একটি কম্পিউটার সিস্টেমে অ্যাক্সেস পেতে দেয়। এই দুর্বলতার অফিসিয়াল নাম CVE-2021-44228 .
Log4j হল একটি ওপেন-সোর্স জাভা লাইব্রেরি, যা Apache দ্বারা তৈরি করা হয়েছে, যেটি একটি অ্যাপ্লিকেশনের সমস্ত কার্যকলাপের রেকর্ড রাখার জন্য দায়ী। সফ্টওয়্যার বিকাশকারীরা তাদের অ্যাপ্লিকেশনের জন্য এটি ব্যাপকভাবে ব্যবহার করে। সুতরাং, এমনকি মাইক্রোসফ্ট, টুইটার এবং অ্যাপলের মতো বড় প্রযুক্তি সংস্থাগুলিও এই মুহুর্তে আক্রমণের ঝুঁকিতে রয়েছে।
কিভাবে Log4j দুর্বলতা আবিষ্কৃত বা পাওয়া গেছে?
Log4Shell (Log4j) দুর্বলতা প্রথম Microsoft-মালিকানাধীন Minecraft-এর LunaSec-এর গবেষকরা আবিষ্কার করেছিলেন। পরে, গবেষকরা বুঝতে পেরেছিলেন যে এটি একটি মাইনক্রাফ্ট ত্রুটি নয় এবং লুনাসেক সতর্ক করেছে যে Log4j-এর সর্বব্যাপী উপস্থিতির কারণে অনেক, অনেক পরিষেবা এই শোষণের জন্য ঝুঁকিপূর্ণ।
তারপর থেকে, সাম্প্রতিক সময়ে এটিকে সবচেয়ে গুরুতর ত্রুটিগুলির মধ্যে একটি হিসাবে ডাব করে অনেক প্রতিবেদন এসেছে, এবং একটি ত্রুটি যা আগামী বছরের জন্য ইন্টারনেটকে প্রভাবিত করবে৷
Log4j দুর্বলতা কি করতে পারে?
Log4j দুর্বলতা হ্যাকার/আক্রমণকারী/শোষকদের সিস্টেমে সম্পূর্ণ অ্যাক্সেস প্রদান করতে সক্ষম। অবাধ প্রবেশাধিকার পাওয়ার জন্য তাদের কেবল একটি নির্বিচারে কোড চালাতে হবে। এই ত্রুটিটি তাদের সার্ভারের সম্পূর্ণ নিয়ন্ত্রণ অর্জনের অনুমতি দিতে পারে যখন তারা সিস্টেমটি সঠিকভাবে পরিচালনা করে।
CVE (Common Vulnerabilities and Exposures) লাইব্রেরিতে ত্রুটির প্রযুক্তিগত সংজ্ঞা বলে যে একজন আক্রমণকারী যে লগ মেসেজ বা লগ মেসেজ প্যারামিটার নিয়ন্ত্রণ করতে পারে সে যখন মেসেজ লুকআপ প্রতিস্থাপন সক্রিয় থাকে তখন LDAP সার্ভার থেকে লোড করা ইচ্ছামত কোড চালাতে পারে।
অতএব, ইন্টারনেট উচ্চ সতর্কতায় রয়েছে কারণ শোষকরা ক্রমাগত দুর্বল সিস্টেমগুলিকে লক্ষ্য করার চেষ্টা করছে।
কোন ডিভাইস এবং অ্যাপ্লিকেশনগুলি Log4j দুর্বলতার ঝুঁকিতে রয়েছে?
Apache Log4J সংস্করণ 2.0 থেকে 2.14.1 চালাচ্ছে এবং ইন্টারনেটে অ্যাক্সেস আছে এমন যেকোনও বিভ্রান্তের জন্য Log4j দুর্বলতা গুরুতর৷ NCSC অনুসারে, Apache Struts2, Solr, Druid, Flink, এবং Swift ফ্রেমওয়ার্কের মধ্যে স্নেহ সংস্করণ (Log4j সংস্করণ 2 বা Log4j2) অন্তর্ভুক্ত রয়েছে।
এটি অ্যাপলের আইক্লাউড, মাইক্রোসফ্টের মাইনক্রাফ্ট, টুইটার, স্টিম, টেনসেন্ট, গুগল, অ্যামাজন, ক্লাউডফেয়ার, নেটইজ, ওয়েবেক্স, লিঙ্কডইন ইত্যাদির মতো টেক জায়ান্টগুলির থেকে একটি বিশাল সংখ্যক পরিষেবা রাখে।
কেন এই দুর্বলতা এত গুরুতর এবং এটিকে মোকাবেলা করা সমালোচনামূলকভাবে কঠিন?
এই দুর্বলতা এতটাই গুরুতর যে হ্যাকাররা Apache Log4j2 ব্যবহার করে গুরুতর দুর্বল সিস্টেমগুলিকে কাজে লাগাতে প্রতি মিনিটে 100 বারের বেশি চেষ্টা করছে৷ এটি সাইবার চুরির ঝুঁকিতে লক্ষ লক্ষ সংস্থাকে রাখে।
রিপোর্ট অনুসারে, শুধুমাত্র ভারতেই, এই ত্রুটিটি 41% কর্পোরেটকে হ্যাকের ঝুঁকিতে ফেলেছে। চেক পয়েন্ট রিসার্চ বলেছে যে এটি ত্রুটিকে কাজে লাগিয়ে 846,000 টিরও বেশি আক্রমণ সনাক্ত করেছে।
ক্রিপ্টোস লজিক যা একটি নিরাপত্তা সংস্থা ঘোষণা করেছে এটি ইন্টারনেট স্ক্যান করে 10,000টিরও বেশি বিভিন্ন আইপি ঠিকানা আবিষ্কার করেছে এবং এটি LogShell-এর জন্য অনুসন্ধান করা সিস্টেমের পরিমাণের 100 গুণ বেশি .
এই দুর্বলতা এত ব্যাপক যে Apache হল সবচেয়ে বেশি ব্যবহৃত ওয়েব সার্ভার, এবং Log4j হল সবচেয়ে জনপ্রিয় জাভা লগিং প্যাকেজ। এটি শুধুমাত্র তার GitHub সংগ্রহস্থল থেকে 400,000 এর বেশি ডাউনলোড করেছে।
কিভাবে Log4j দুর্বলতা থেকে নিরাপদ থাকবেন?
সাম্প্রতিক ব্যবহারকারীদের মতে, Apache Log4j 2.15.0 এবং তার উপরে সকলের জন্য সমস্যাগুলি প্যাচ করছে কারণ তারা ডিফল্টরূপে আচরণটি নিষ্ক্রিয় করছে৷ বিশেষজ্ঞরা ক্রমাগত চেষ্টা করছেন কীভাবে এই হুমকির ঝুঁকি কম করা যায় এবং সিস্টেমগুলিকে সুরক্ষিত করা যায়। মাইক্রোসফ্ট এবং সিসকো ত্রুটির জন্য পরামর্শও প্রকাশ করেছে।
লুনাসেক তা উল্লেখ করেছেন মাইনক্রাফ্ট ইতিমধ্যেই জানিয়েছে যে ব্যবহারকারীরা কোনও সমস্যা এড়াতে গেমটি আপডেট করতে পারেন। পেপারের মতো অন্যান্য ওপেন সোর্স প্রকল্পগুলিও সমস্যা সমাধানের জন্য প্যাচ জারি করছে .
Cisco এবং VMware তাদের প্রভাবিত পণ্যগুলির জন্য প্যাচগুলিও প্রকাশ করেছে৷ বেশিরভাগ বড় প্রযুক্তি সংস্থাগুলি এখন জনসমক্ষে এই সমস্যাটির সমাধান করেছে এবং তাদের ব্যবহারকারীদের পাশাপাশি কর্মচারীদের জন্য নিরাপত্তা ব্যবস্থার প্রস্তাব দিয়েছে। তাদের কেবল কঠোরভাবে তাদের অনুসরণ করা দরকার।
Log4j দুর্বলতা সম্পর্কে বিশেষজ্ঞরা কী বলছেন?
Log4j দুর্বলতা সপ্তাহান্তে সিস্টেম অ্যাডমিনিস্ট্রেটর এবং নিরাপত্তা পেশাদারদের বাঁকা করে রেখেছে। সিসকো এবং ক্লাউডফ্লেয়ার রিপোর্ট করেছে যে হ্যাকাররা এই মাসের শুরু থেকে এই বাগটি কাজে লাগাচ্ছে। তবে, বৃহস্পতিবার অ্যাপাচির প্রকাশের পর সংখ্যাটি ব্যাপকভাবে বেড়েছে।
সাধারণত, সংস্থাগুলি ব্যক্তিগতভাবে এই জাতীয় ত্রুটিগুলি মোকাবেলা করে। কিন্তু, এই দুর্বলতার প্রভাবের পরিসর এতটাই বিস্তৃত ছিল যে কোম্পানিগুলিকে জনসমক্ষে এটি মোকাবেলা করতে হয়েছিল। এমনকি মার্কিন সরকারের সাইবার নিরাপত্তা শাখা একটি গুরুতর সতর্কতা জারি করেছে।
শনিবার, জেন ইস্টারলি, ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি ডিরেক্টর, বলেছেন যে দুর্বলতা ইতিমধ্যেই 'হুমকি অভিনেতাদের ক্রমবর্ধমান সেট' দ্বারা ব্যবহার করা হচ্ছে, এই ত্রুটিটি আমার পুরো ক্যারিয়ারে দেখা সবচেয়ে গুরুতর একটি, যদি সবচেয়ে গুরুতর না হয়।
ক্রিস ফ্রোহফ, একজন স্বাধীন নিরাপত্তা গবেষক বলেছেন যা প্রায় নিশ্চিত তা হল যে বছরের পর বছর ধরে লোকেরা নতুন দুর্বল সফ্টওয়্যারের দীর্ঘ লেজ আবিষ্কার করবে কারণ তারা শোষণের স্ট্রিং স্থাপনের জন্য নতুন জায়গার কথা ভাবে। এটি সম্ভবত একটি দীর্ঘ সময়ের জন্য কাস্টম এন্টারপ্রাইজ অ্যাপগুলির মূল্যায়ন এবং অনুপ্রবেশ পরীক্ষায় প্রদর্শিত হবে।
বিশেষজ্ঞরা বিশ্বাস করেন যে দুর্বলতার আসন্ন দীর্ঘস্থায়ী প্রভাব সম্পর্কে সচেতন হওয়া গুরুত্বপূর্ণ, প্রথম অগ্রাধিকার হতে হবে ক্ষতি কমাতে এখন যতটা সম্ভব পদক্ষেপ নেওয়া।
আক্রমণকারীরা এখন যতটা সম্ভব সিস্টেম আবিষ্কার এবং শোষণ করার জন্য আরও সৃজনশীল উপায় খুঁজবে, এই ভীতিকর ত্রুটিটি আগামী বছরের জন্য ইন্টারনেট জুড়ে ধ্বংসের কারণ হতে থাকবে!
