IT सुरक्षा विशेषज्ञ log4j सुरक्षा अंतर पर टिप्पणी करते हैं जिसके लिए BSI ने लाल चेतावनी स्तर घोषित किया है। बाराकुडा नेटवर्क्स, रडार साइबर सिक्योरिटी और फोरनोवा के विशेषज्ञ स्थिति का आकलन प्रदान करते हैं।
जोनाथन टान्नर, बाराकुडा नेटवर्क्स में वरिष्ठ सुरक्षा शोधकर्ता
जोनाथन टान्नर, बाराकुडा नेटवर्क्स के वरिष्ठ सुरक्षा शोधकर्ता: "क्योंकि यह भेद्यता रिमोट कोड निष्पादन की अनुमति देती है, जोखिम काफी अधिक हैं।" (छवि: बाराकुडा नेटवर्क)।
कंपनियां अपनी तकनीक में इस भेद्यता की पहचान कैसे कर सकती हैं और यदि इसे ठीक नहीं किया गया तो क्या जोखिम हैं?
“पहले आपको यह जांचना चाहिए कि क्या 4 से पहले log2.15.0j के संस्करण का उपयोग किया जाता है, वह भी निर्भरताओं में। मावेन और ग्रैडल दोनों - जावा-आधारित बिल्ड प्रबंधन उपकरण - एक परियोजना के लिए संपूर्ण निर्भरता ट्री को प्रिंट करने की क्षमता प्रदान करते हैं। इस तरह यह निर्धारित किया जा सकता है कि log4j का एक कमजोर संस्करण इस्तेमाल किया जा रहा है या नहीं। 2.15.0 या बाद के संस्करण के साथ भी, सुनिश्चित करें कि formatMsgNoLookups सिस्टम गुण 'true' पर सेट नहीं है।
इस संस्करण के कमजोर न होने का एकमात्र कारण यह है कि इसने डिफ़ॉल्ट मान को सही से गलत पर सेट किया है। Log4j के कुछ संस्करणों में, भेद्यता को कम करने के लिए इस संपत्ति को मैन्युअल रूप से गलत पर सेट किया जा सकता है। यदि एप्लिकेशन को अपने वैध उपयोग के भाग के रूप में LDAP की आवश्यकता नहीं है, तो रिमोट कोड को पहुंचने से रोकने के लिए फ़ायरवॉल या वेब एप्लिकेशन फ़िल्टर के साथ सभी LDAP ट्रैफ़िक को ब्लॉक करना भी संभव है, भेद्यता का शोषण किया जाना चाहिए।
हालाँकि, ये केवल जाँचते हैं कि क्या log4j इस RCE भेद्यता का फायदा उठाने में सक्षम है या नहीं। कोई प्रणाली किसी हमले के लिए वास्तव में कमजोर है या नहीं, यह हार्टब्लीड जैसी कमजोरियों जैसे एकल परीक्षण के बिना बहुत अधिक जटिल मामला है। इस भेद्यता का फायदा उठाने के लिए, हमलावर को लॉग इंजेक्शन हमला करने की आवश्यकता होगी। इन्हें ढूंढना कहीं अधिक जटिल प्रक्रिया है, लेकिन मूल रूप से कोई भी स्थान जहां उपयोगकर्ता (या संभावित हमलावर का) इनपुट लॉग किया जाता है, इस हमले के लिए असुरक्षित हो सकता है।
तो एक वास्तविक आरसीई का परीक्षण करने के लिए, किसी को उपयोगकर्ता संदर्भ से लॉग के भीतर जेएनडीआई एलडीएपी अनुरोध करने का तरीका खोजने का प्रयास करना होगा (उदाहरण के लिए वेबसाइट या एपीआई के माध्यम से यदि संभावित रूप से प्रभावित एप्लिकेशन एक वेब एप्लिकेशन है)। चूंकि यह भेद्यता दूरस्थ कोड निष्पादन की अनुमति देती है, इसलिए जोखिम काफी अधिक हैं। एक हमलावर संभावित रूप से नेटवर्क में प्रवेश कर सकता है और वहां से महत्वपूर्ण संसाधनों और डेटा तक पहुंचने का प्रयास कर सकता है।"
इस भेद्यता में ओपन सोर्स की क्या भूमिका थी, और log4j जैसे टूल का उपयोग करने वाले संगठनों के लिए शीर्ष सुरक्षा विचार क्या हैं?
"क्योंकि log4j एक बहुत ही लोकप्रिय ओपन सोर्स लाइब्रेरी है, कमजोर अनुप्रयोगों की संख्या निश्चित रूप से अधिक थी। सामान्य तौर पर, कोई भी सॉफ़्टवेयर हमलों के प्रति संवेदनशील हो सकता है, और लोकप्रिय ओपन सोर्स सॉफ़्टवेयर में अक्सर एक बड़ा पारिस्थितिकी तंत्र होता है जो सुरक्षा खतरों की तलाश करता है और उन्हें ठीक करता है। भले ही ओपन-सोर्स सॉफ़्टवेयर प्रमुख कमजोरियों के पाए जाने पर अधिकांश सुर्खियाँ बटोरता है, इसका मतलब यह नहीं है कि यह आनुपातिक रूप से कम सुरक्षित है (वास्तव में, यह मालिकाना कोड या कम लोकप्रिय पुस्तकालयों की तुलना में बहुत अधिक सुरक्षित है)। व्यापक वितरण केवल इस संभावना को बढ़ाता है कि भेद्यताएं पाई जाएंगी, जरूरी नहीं कि उनके मौजूद होने की संभावना हो।
ओपन सोर्स लाइब्रेरी की तलाश करते समय, कंपनियों को उपरोक्त कारणों से लॉग 4 जे जैसी बड़ी, प्रतिष्ठित और सुव्यवस्थित परियोजनाओं का चयन करना चाहिए। बेशक अभी भी कमजोरियां हो सकती हैं, लेकिन समुदाय उन कमजोरियों को खोजने और पैच करने की अधिक संभावना रखता है, और यह भी सत्यापित करता है कि कोड उन बगों से मुक्त है जो छोटी परियोजनाओं की तुलना में कमजोरियों का कारण बन सकते हैं।
यहां तक कि उन लोगों के लिए भी जिनके एप्लिकेशन CVE-2021-44228 के लिए असुरक्षित नहीं हैं, या जो लॉगिंग के लिए log4j का उपयोग बिल्कुल नहीं करते हैं, यह भेद्यता निश्चित रूप से एक वेक-अप कॉल है जो लॉग इंजेक्शन एक संभावित तरीका है जिसका हमलावर उपयोग कर सकते हैं। यह जाँचने योग्य है कि लॉग किए गए सभी उपयोगकर्ता इनपुट को प्रत्येक एप्लिकेशन में ठीक से साफ किया जाता है, इससे कोई फर्क नहीं पड़ता कि लॉगिंग सिस्टम या प्रोग्रामिंग भाषा का उपयोग किया जाता है। जबकि इंजेक्शन के अन्य रूप कहीं अधिक सामान्य हैं और रुचि का केंद्र हैं, लॉग इंजेक्शन अभी भी इंजेक्शन हमले का एक रूप है और इसलिए OWASP शीर्ष 10 कमजोरियों के अंतर्गत आता है।
कंपनियां अपनी तकनीक में इस भेद्यता की पहचान कैसे कर सकती हैं और यदि इसे ठीक नहीं किया गया तो क्या जोखिम हैं?
“सबसे पहले आपको यह जांचने की आवश्यकता है कि क्या 4 से पहले log2.15.0j का संस्करण उपयोग किया जाता है, निर्भरता में भी। मावेन और ग्रैडल दोनों - जावा-आधारित बिल्ड प्रबंधन उपकरण - एक परियोजना के लिए संपूर्ण निर्भरता ट्री को प्रिंट करने की क्षमता प्रदान करते हैं। इस तरह यह निर्धारित किया जा सकता है कि log4j का एक कमजोर संस्करण इस्तेमाल किया जा रहा है या नहीं। 2.15.0 या बाद के संस्करण के साथ भी, सुनिश्चित करें कि formatMsgNoLookups सिस्टम गुण 'true' पर सेट नहीं है। इस संस्करण के कमजोर न होने का एकमात्र कारण यह है कि इसने डिफ़ॉल्ट मान को सही से गलत पर सेट किया है।
Log4j के कुछ संस्करणों में, भेद्यता को कम करने के लिए इस संपत्ति को मैन्युअल रूप से गलत पर सेट किया जा सकता है। यदि एप्लिकेशन को अपने वैध उपयोग के भाग के रूप में LDAP की आवश्यकता नहीं है, तो रिमोट कोड को पहुंचने से रोकने के लिए फ़ायरवॉल या वेब एप्लिकेशन फ़िल्टर के साथ सभी LDAP ट्रैफ़िक को ब्लॉक करना भी संभव है, भेद्यता का शोषण किया जाना चाहिए। हालाँकि, ये केवल जाँचते हैं कि क्या log4j इस RCE भेद्यता का फायदा उठाने में सक्षम है या नहीं। कोई प्रणाली किसी हमले के लिए वास्तव में कमजोर है या नहीं, यह हार्टब्लीड जैसी कमजोरियों जैसे एकल परीक्षण के बिना बहुत अधिक जटिल मामला है।
इस भेद्यता का फायदा उठाने के लिए, हमलावर को लॉग इंजेक्शन हमला करने की आवश्यकता होगी। इन्हें ढूंढना कहीं अधिक जटिल प्रक्रिया है, लेकिन मूल रूप से कोई भी स्थान जहां उपयोगकर्ता (या संभावित हमलावर का) इनपुट लॉग किया जाता है, इस हमले के लिए असुरक्षित हो सकता है। तो एक वास्तविक आरसीई का परीक्षण करने के लिए, किसी को उपयोगकर्ता संदर्भ से लॉग के भीतर जेएनडीआई एलडीएपी अनुरोध करने का तरीका खोजने का प्रयास करना होगा (उदाहरण के लिए वेबसाइट या एपीआई के माध्यम से यदि संभावित रूप से प्रभावित एप्लिकेशन एक वेब एप्लिकेशन है)।
चूंकि यह भेद्यता दूरस्थ कोड निष्पादन की अनुमति देती है, भेद्यता के मामले में जोखिम काफी अधिक हैं। एक हमलावर संभावित रूप से नेटवर्क में प्रवेश कर सकता है और वहां से महत्वपूर्ण संसाधनों और डेटा तक पहुंचने का प्रयास कर सकता है।"
बाराकुडा डॉट कॉम पर अधिक
राडार साइबर सुरक्षा में सीओओ लोथर हैन्सलर
राडार साइबर सुरक्षा में सीओओ लोथर हंसलर: "भेद्यता का फायदा उठाना अपेक्षाकृत आसान है, हमलों को आसानी से छुपाया जा सकता है।" (छवि: रडार साइबर सुरक्षा)।
वैसे भी क्या हुआ
“पिछले सप्ताह के अंत में, Apache.org के log4j2 मॉड्यूल में भेद्यता की खोज की गई और जल्दी से 10 का सीवीएसएस स्कोर दिया गया, जो कि उच्चतम क्रिटिकलिटी स्तर है। सूचना सुरक्षा के लिए संघीय कार्यालय (बीएसआई) जैसे अधिकारियों ने जल्दी से अपने जोखिम मूल्यांकन को बढ़ा दिया है, जो शुरू में नारंगी था, लाल हो गया।
क्या इस भेद्यता को इतना खास बनाता है?
"कमजोरियों का फायदा उठाना अपेक्षाकृत आसान है, हमलों को आसानी से छिपाया जा सकता है (आक्षेप)। इसके अलावा, रक्षात्मक उपायों को लागू करना आसान नहीं है। इसका एक कारण यह है कि सभी न्यूनीकरण कार्यनीतियों में भेद्यता से प्रभावित अनुप्रयोगों पर जोखिम और दुष्प्रभाव हो सकते हैं। हालांकि, विशेषज्ञ समूहों में आकलन बहुत गतिशील हैं। नतीजतन, शमन रणनीतियों पर भी अलग-अलग दृष्टिकोण हैं।"
राडार साइबर सुरक्षा ने वास्तव में क्या किया है?
"सप्ताहांत में, हमने सबसे पहले एक घटना की प्रतिक्रिया के साथ डेटा स्थिति का विश्लेषण किया, प्रभाव का अनुमान लगाया, कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी) जैसे अंतरराष्ट्रीय प्लेटफार्मों से सूचना के विभिन्न स्रोतों का उपयोग किया, और इस खतरे से निपटने के लिए एक रणनीति तैयार की। आखिरकार, सोमवार की सुबह हमने अपने सभी ग्राहकों को एक सुरक्षा सलाह भेजी। हमारे साइबर डिफेंस सेंटर (सीडीसी) को हाई अलर्ट मोड पर सेट कर दिया गया है।
यह अब समग्र सुरक्षा मुद्रा की उपेक्षा किए बिना, log4j2 मॉड्यूल में भेद्यता की घटना पर विशेष ध्यान देता है। हमने अपने ग्राहकों के लिए इस भेद्यता के कारनामों को सत्यापित करने और रिपोर्ट करने के लिए डिटेक्शन मॉड्यूल को अपडेट किया है। यह भेद्यता प्रबंधन से लेकर क्लासिक सिएम सेवाओं तक व्यक्तिगत नेटवर्क विश्लेषण उपकरण तक है। उसी समय, हमने अपने सिस्टम का विश्लेषण शुरू किया। पहले ग्राहक के पहले स्कैन के बाद, बहुत ही कम समय में दो गंभीर घटनाओं की पहचान की गई। अन्य विशेष सेवाएं विश्लेषण करती हैं कि ग्राहक इस भेद्यता से विशेष रूप से प्रभावित हैं या नहीं। अत्यधिक मामलों में, सिस्टम को बंद करने की आवश्यकता हो सकती है।"
RadarCS.com पर अधिक
फोरनोवा में पेशेवर सेवाओं के निदेशक पॉल स्मिथ
पॉल स्मिट, फोरनोवा में व्यावसायिक सेवाओं के निदेशक: "लॉग4जे में शून्य-दिन की भेद्यता बेहद खतरनाक है क्योंकि दुर्भावनापूर्ण कोड को स्पष्ट रूप से पुनः लोड किए बिना इसका सीधे शोषण किया जा सकता है।" (छवि: फोरनोवा)।
"व्यापक रूप से उपयोग की जाने वाली log4j जावा लाइब्रेरी में शून्य-दिन की भेद्यता बेहद खतरनाक है क्योंकि दुर्भावनापूर्ण कोड को स्पष्ट रूप से पुनः लोड किए बिना भेद्यता का सीधे शोषण किया जा सकता है। हालाँकि, यह तुरंत होगा या नहीं, यह केवल तब देखा जा सकता है जब बहुत देर हो चुकी हो। एक समापन बिंदु से समझौता किया जा सकता है, लेकिन अभी तक हैकर्स की दृष्टि में नहीं है। अभी, छोटे और मध्यम आकार की कंपनियों के लिए एक व्यापक रक्षा रणनीति के रूप में नेटवर्क का पता लगाने और प्रतिक्रिया और समापन बिंदु का पता लगाने और प्रतिक्रिया के बारे में सोचने की आवश्यकता स्पष्ट हो रही है। ईडीआर देखता है कि मैलवेयर स्थापित किया गया है और समापन बिंदु पर रक्षा का आयोजन करता है।
एनडीआर के साथ अतीत देखें
एनडीआर के साथ, आप लॉगिंग डेटा में पूर्वव्यापी रूप से देख सकते हैं कि कौन से सिस्टम हैकर्स ने बाहर से एक्सेस करने का प्रयास किया। NDR इस तरह के एक्सेस प्रयास से उत्पन्न विशिष्ट ट्रैफ़िक को भी देखता है, जैसे कि C2C सर्वर के साथ संचार, पोर्ट स्कैनिंग और विशिष्ट ट्रैफ़िक। NDR नेटवर्क को ब्लॉक करने और विभाजन करने या सिस्टम को क्वारंटाइन करने की भी अनुमति देता है - एक ऐसा उपाय जिसे संदेह की स्थिति में लिया जाना चाहिए। NovaComand जैसा NDR समाधान भी एंडपॉइंट्स से टेलीमेट्री डेटा का विश्लेषण करता है। NovaCommand ने एक पैच जारी किया है और इस तरह के हमले का पता लगाने के लिए नियमों को अपडेट किया है। NovaCommand प्रभावित सिस्टम और नेटवर्क सेक्शन को ब्लॉक और सेगमेंट करने के लिए अन्य तृतीय-पक्ष समाधानों को भी ट्रिगर करता है।
ForeNova.com पर अधिक
विषय से संबंधित लेख