संगम और Azure में भेद्यताएँ

रिमोट कोड एक्ज़ीक्यूशन (RCE) एक कंप्यूटर सिस्टम पर स्वैच्छिक कोड का निष्पादन है जहां हमलावर की कंसोल तक सीधी पहुंच नहीं होती है। कमजोरियों का फायदा उठाकर, एक रिमोट हैकर सिस्टम का पूरा नियंत्रण अपने हाथ में ले सकता है। कॉन्फ्लुएंस और एज़्योर में सुरक्षा अंतराल के मामले में यही स्थिति है।

उदाहरण के लिए, कोई भी उपयोगकर्ता जिसके पास एक कमजोर सॉफ़्टवेयर संस्करण के साथ समापन बिंदु तक पहुंच है, प्राधिकरण शीर्षलेख की आवश्यकता के बिना HTTP अनुरोध के माध्यम से मनमाना आदेश निष्पादित कर सकता है। इस अनुरोध की अपेक्षित प्रतिक्रिया 401 "अनधिकृत" प्रतिक्रिया पृष्ठ होगी। हालाँकि, उपयोगकर्ता "रूट" विशेषाधिकारों के साथ कमांड चला सकता है। 2017 में इक्विफैक्स हमले के दौरान इन खतरों की पहचान की जा चुकी थी।

इस प्रकार के हमले में हाल ही में उजागर की गई दो कमजोरियां नवीनतम विकास हैं: एटलसियन कॉन्फ्लुएंस ओजीएनएल इंजेक्शन भेद्यता और एज़्योर ओपन मैनेजमेंट इन्फ्रास्ट्रक्चर (ओएमआई) को प्रभावित करने वाली भेद्यता। बाराकुडा सुरक्षा शोधकर्ताओं ने अगस्त और सितंबर 45 में 2021 दिनों की अवधि में इन कमजोरियों का फायदा उठाने के प्रयास में किए गए हमलों का विश्लेषण किया और 500 से अधिक अद्वितीय हमलावर आईपी से उत्पन्न हमले स्पाइक्स की पहचान की। निम्नलिखित इन भेद्यताओं, हाल के हमले के पैटर्न, और समाधानों पर करीब से नज़र डालता है, जिनका उपयोग संगठन इस प्रकार के हमलों से बचाने के लिए कर सकते हैं।

संगम और एज़्योर भेद्यता विस्तार से

1. एटलसियन कंफ्लुएंस ओजीएनएल इंजेक्शन भेद्यता

एटलसियन कंफ्लुएंस ओजीएनएल इंजेक्शन भेद्यता का खुलासा सबसे पहले एटलसियन ने 25 अगस्त, 2021 को किया था। इसके तुरंत बाद, इसे राष्ट्रीय भेद्यता डेटाबेस (CVE-2021-26084) में जोड़ा गया। यह भेद्यता खतरे के अभिनेताओं को प्राधिकरण हेडर के बिना कंफ्लुएंस टेम्प्लेट इंजन का उपयोग करके "POST" अनुरोध भेजने की अनुमति देती है। यह थ्रेट एक्टर को सिस्टम में "रूट" एक्सेस देता है। हमलावर जावा कोड को "क्वेरीस्ट्रिंग" और "लिंक क्रिएशन" पैरामीटर के माध्यम से इंजेक्ट कर सकते हैं।

एटलसियन ने घोषणा की कि "निश्चित संस्करणों से पहले कॉन्फ्लुएंस सर्वर और डेटा सेंटर के सभी संस्करण इस भेद्यता से प्रभावित हैं।" अगस्त के अंत से सितंबर के अंत तक डेटा का विश्लेषण करते हुए, बाराकुडा सुरक्षा शोधकर्ताओं ने निर्धारित किया कि कॉन्फ्लुएंस भेद्यता पर हमले आसमान छू गए हैं और उच्च स्तर पर बने हुए हैं। स्तरों के रूप में कई Confluence उपयोगकर्ताओं के पास अभी भी सॉफ़्टवेयर का एक कमजोर संस्करण है।

2. एज़्योर ओपन मैनेजमेंट इन्फ्रास्ट्रक्चर (ओएमआई) में भेद्यता

Azure ने 2021 सितंबर, 38647 को CVE-15-2021 जारी किया। यह भेद्यता Azure ओपन मैनेजमेंट इन्फ्रास्ट्रक्चर (OMI) को प्रभावित करती है। एज़्योर ओएमआई एक सॉफ्टवेयर एजेंट है जो चुपचाप पूर्व-स्थापित है और क्लाउड वातावरण में तैनात है। यह साइलेंट इंस्टॉलेशन अब एज़्योर ग्राहकों को जोखिम में डालता है जब तक कि वे अपने सिस्टम को ओएमआई के नवीनतम संस्करण में अपग्रेड नहीं करते।

हमलावर ओएमआई ट्रैफिक (पोर्ट 1270/5985/5986) को सुनने वाले बंदरगाहों में से एक को विशेष रूप से तैयार किए गए HTTPS संदेश भेजकर इन प्रणालियों को लक्षित करते हैं, जिससे हमलावर को कंप्यूटर तक प्रारंभिक पहुंच मिलती है। हमलावर द्वारा भेजे गए आदेशों को SCXcore सेवा द्वारा निष्पादित किया जाता है, जिससे हमलावर कमजोरियों का फायदा उठा सकता है। हमलावर कंप्यूटर के लिए प्राधिकरण शीर्षलेख के बिना आदेश जारी कर सकता है, जिस पर ओएमआई सर्वर भरोसा करता है और हमलावर को "रूट" सिस्टम तक पहुंच प्रदान करता है। Microsoft ने अपने ब्लॉग में समझाया: "ExecuteShellCommand RunAsProvider किसी भी UNIX/Linux कमांड को /bin/sh शेल के माध्यम से चलाता है।"

हमलावर सटीक भेद्यता को लक्षित करते हैं

सितंबर के मध्य से बाराकुडा सिस्टम के डेटा का विश्लेषण करते हुए, बाराकुडा सुरक्षा शोधकर्ताओं ने इस भेद्यता का फायदा उठाने की कोशिश कर रहे हमलावरों की संख्या में तेजी से वृद्धि देखी। 18 सितंबर को शुरुआती स्पाइक के बाद, हमलों के प्रयास की संख्या में कमी आई, लेकिन यह स्पाइक जारी रहा और फिर समय के साथ समाप्त हो गया।

अगस्त और सितंबर में 45 दिनों की अवधि में बाराकुडा के हमलों के विश्लेषण ने 550 अद्वितीय हमलावर आईपी की खोज की, जो एटलसियन कॉन्फ्लुएंस भेद्यता का फायदा उठाने का प्रयास कर रहे थे और 542 अद्वितीय हमलावर आईपी एज़्योर ओएमआई शोषण भेद्यता का फायदा उठाने का प्रयास कर रहे थे। प्रत्येक आईपी के पीछे कई हमलावर थे, जिसका अर्थ है कि हमलों की संख्या आईपी की संख्या से काफी अधिक थी। शोधकर्ताओं ने क्लाइंट फ़िंगरप्रिंटिंग और अन्य तकनीकों का उपयोग करके इस जानकारी को उजागर किया।

विश्लेषण अधिकांश हमलावर आईपी दिखाता है

जैसा कि ऊपर के हीटमैप से देखा जा सकता है, अधिकांश हमलावर आईपी अलास्का सहित अमेरिका में स्थित हैं। यह इस तथ्य के कारण हो सकता है कि अधिकांश सर्वर फार्म इन क्षेत्रों में स्थित हैं। रूस, ब्रिटेन, पोलैंड और भारत जैसे देशों से भी हमले भेजे गए हैं। दुनिया भर के हमलावर इन कमजोरियों का फायदा उठाने की कोशिश कर रहे हैं, और संगठनों को अपने वेब अनुप्रयोगों की सुरक्षा के लिए सबसे आगे रहने की जरूरत है।

उद्यमों को वेब एप्लिकेशन की सुरक्षा करनी चाहिए

वेब अनुप्रयोगों में कमजोरियों की बढ़ती संख्या के कारण, हमलों से बचाव करना जटिल होता जा रहा है। हालाँकि, अब पूर्ण समाधान हैं जो वेब अनुप्रयोगों को इन कमजोरियों का फायदा उठाने से बचाते हैं। WAF/WAF-as-a-Service समाधान, जिसे WAAP (वेब ​​एप्लिकेशन और API सुरक्षा) सेवाओं के रूप में भी जाना जाता है, एक एकल, उपयोग में आसान उत्पाद में सभी नवीनतम सुरक्षा समाधान प्रदान करके वेब एप्लिकेशन को सुरक्षित रखने में मदद कर सकता है।

कई कर्मचारी दूर से काम कर रहे हैं और कई एप्लिकेशन ऑनलाइन हैं, WAF-as-a-Service या WAAP समाधान की आवश्यकता कभी भी अधिक नहीं रही है। व्यवसायों को इसलिए यह सुनिश्चित करने की आवश्यकता है कि उनके पास एक समाधान है जिसमें बॉट शमन, DDoS सुरक्षा और API सुरक्षा शामिल है।

बाराकुडा डॉट कॉम पर अधिक

 

---

बाराकुडा नेटवर्क के बारे में

बाराकुडा दुनिया को एक सुरक्षित स्थान बनाने के लिए प्रयासरत है और उसका मानना ​​है कि प्रत्येक व्यवसाय की क्लाउड-सक्षम, उद्यम-व्यापी सुरक्षा समाधानों तक पहुंच होनी चाहिए जो खरीदना, तैनात करना और उपयोग करना आसान हो। बाराकुडा ईमेल, नेटवर्क, डेटा और एप्लिकेशन को अभिनव समाधानों के साथ सुरक्षित करता है जो ग्राहक यात्रा के साथ बढ़ते और अनुकूल होते हैं। दुनिया भर में 150.000 से अधिक कंपनियां बाराकुडा पर भरोसा करती हैं ताकि वे अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकें। अधिक जानकारी के लिए, www.barracuda.com पर जाएं।

---

 

विषय से संबंधित लेख