खतरा स्पष्ट रूप से आगे बढ़ गया है: अनधिकृत SQL इंजेक्शन के लिए एक और भेद्यता की खोज। साइबर हमलों को रोकने के लिए MOVEit को फिर से पैच करने की आवश्यकता है।
हर दिन कमजोरियों की खोज की जाती है, और हमलावर यह देखने के लिए जाँच करते रहते हैं कि क्या वे एक नई भेद्यता से पैसा कमा सकते हैं। जब एक नई भेद्यता की पुष्टि की जाती है, तो हमें रक्षकों के रूप में दो चीजों पर विचार करने की आवश्यकता होती है: हमलावरों के लिए भेद्यता का फायदा उठाना कितना मुश्किल होगा, और कितनी संभावना है कि इसका फायदा उठाया जाएगा। उत्तरार्द्ध आमतौर पर प्रभावित सॉफ़्टवेयर के प्रसार पर निर्भर करता है: यह जितना अधिक व्यापक होगा, इसका शोषण किए जाने की संभावना उतनी ही अधिक होगी।
प्रोग्रेस सॉफ्टवेयर द्वारा उजागर की गई यह नवीनतम भेद्यता [सीवीई-2023-36934] एकदम सही तूफान है। कम तकनीकी जानकारी वाले हमलावरों द्वारा एक अप्रमाणित SQL इंजेक्शन बग का आसानी से फायदा उठाया जाता है और उन्हें कई अवसर प्रदान किए जाते हैं। इनमें वेबपेज पर एक फ़ील्ड जोड़ने से लेकर 'फॉर्म' भरने वाले अनजान उपयोगकर्ताओं से जानकारी चुराने से लेकर किसी भी बैकएंड डेटाबेस में सभी जानकारी प्रकट करने के लिए 'एसक्यूएल क्वेरी' के साथ एप्लिकेशन को धोखा देने तक शामिल हैं। इस मामले में, दुर्भावनापूर्ण लोगों के लिए दरवाजा पूरी तरह से खुला है और वे बेरोकटोक प्रवेश कर सकते हैं।
ए क्वेश्चन ऑफ टाइम
अपराधियों ने पहले ही MOVEit पर हमला किया है या बड़ी सफलता के साथ कमजोरियों का फायदा उठाया है। हालाँकि हमारे पास अभी तक कोई सबूत नहीं है कि इस नई MOVEit भेद्यता पर भी हमला किया गया है, सब कुछ इंगित करता है कि यह केवल समय की बात है। हमले की प्रतीक्षा करने और फिर प्रतिक्रिया देने के बजाय, सुरक्षा टीमों के लिए साइबर सुरक्षा के लिए पूर्व-खाली दृष्टिकोण अपनाना महत्वपूर्ण है। हमले की सतह को समझने और संगठन के लिए सक्रिय रूप से जोखिम का प्रबंधन करने की आवश्यकता कभी इतनी जरूरी नहीं रही। (बर्नार्ड मोंटेल, टेनेबल के तकनीकी निदेशक)
Tenable.com पर अधिक
टेनेबल के बारे में टेनेबल साइबर एक्सपोजर कंपनी है। दुनिया भर में 24.000 से अधिक कंपनियां साइबर जोखिम को समझने और कम करने में सक्षम हैं। Nessus के आविष्कारकों ने Tenable.io में अपनी भेद्यता विशेषज्ञता को संयोजित किया है, जो उद्योग का पहला प्लेटफ़ॉर्म प्रदान करता है जो किसी भी कंप्यूटिंग प्लेटफ़ॉर्म पर किसी भी संपत्ति को रीयल-टाइम दृश्यता प्रदान करता है और सुरक्षित करता है। टेनेबल के ग्राहक आधार में फॉर्च्यून 53 का 500 प्रतिशत, ग्लोबल 29 का 2000 प्रतिशत और बड़ी सरकारी एजेंसियां शामिल हैं।