शून्य दिवस पहल: 1.000 भेद्यता रिपोर्ट प्रकाशित

जीरो डे इनिशिएटिव ने 1 की पहली छमाही में 2023 से अधिक भेद्यता रिपोर्ट प्रकाशित कीं। कमजोरियों में से महत्वपूर्ण Microsoft शून्य-दिन हैं। ज़ीरो डे इनिशिएटिव ट्रेंड माइक्रो के आरंभकर्ता ने अधिक से अधिक दोषपूर्ण या अपूर्ण पैच के बारे में चेतावनी दी है।

ट्रेंड माइक्रो, साइबर सुरक्षा समाधान के दुनिया के अग्रणी प्रदाताओं में से एक, ने घोषणा की है कि उसके जीरो डे इनिशिएटिव (जेडडीआई) ने इस साल आईटी उत्पादों में व्यक्तिगत कमजोरियों पर 1.000 से अधिक सलाह पहले ही प्रकाशित कर दी है। इस पृष्ठभूमि के खिलाफ, कंपनी ने चेतावनी दी है कि दोषपूर्ण या अपूर्ण पैच अधिक से अधिक बार प्रकाशित किए जा रहे हैं, या प्रभावित निर्माता गुप्त रूप से उन्हें रोल आउट कर रहे हैं।

साइलेंट पैचिंग कमजोरियों को छुपाती है

ट्रेंड माइक्रो "साइलेंट पैचिंग" को समाप्त करने की वकालत करता है - एक ऐसी प्रथा जो कमजोरियों और पैच के प्रकटीकरण और दस्तावेज़ीकरण में देरी या कम महत्व देती है। साइबर अपराध से लड़ने में सबसे बड़ी बाधाओं में से एक के रूप में, यह विधि विशेष रूप से बड़े विक्रेताओं और क्लाउड प्रदाताओं के बीच आम है।

“ज़ीरो डे इनिशिएटिव की स्थापना कमजोरियों को साइबर अपराधियों द्वारा शोषण किए जाने से पहले बंद करने के लिए की गई थी। ट्रेंड माइक्रो के बिजनेस कंसल्टेंट रिचर्ड वर्नर बताते हैं, ''नए NIS2 निर्देश द्वारा यूरोपीय संघ में ऐसे उपायों की आवश्यकता पर और जोर दिया गया है।'' “हालांकि, हम विक्रेता पैच से जुड़ी कमजोरियों के प्रकटीकरण में पारदर्शिता की कमी की चिंताजनक प्रवृत्ति देख रहे हैं। यह डिजिटल दुनिया की आईटी सुरक्षा के लिए ख़तरा है, क्योंकि यह ग्राहकों को अपने स्वयं के आगे के उपाय करने के अवसर से वंचित करता है।

कई क्लाउड प्रदाता साइलेंट पैचिंग पर भरोसा करते हैं

ब्लैक हैट यूएसए 2023 सुरक्षा सम्मेलन में, ट्रेंड रिसर्च के प्रतिनिधियों ने दिखाया कि क्लाउड प्रदाताओं के बीच साइलेंट पैचिंग विशेष रूप से आम है। तेजी से, ये सामान्य कमजोरियां और एक्सपोजर (सीवीई) आईडी निर्दिष्ट करने से बचते हैं, जो पता लगाने योग्य दस्तावेज़ीकरण को सक्षम बनाता है, और इसके बजाय गैर-सार्वजनिक प्रक्रियाओं में पैच जारी करते हैं। क्लाउड सेवाओं के लिए पारदर्शिता या संस्करण संख्याओं की कमी जोखिम मूल्यांकन में बाधा डालती है और पारिस्थितिकी तंत्र में सुरक्षा में सुधार के लिए सुरक्षा समुदाय को मूल्यवान जानकारी से वंचित करती है।

पिछले साल की शुरुआत में, ट्रेंड माइक्रो ने अपूर्ण या गलत पैच की बढ़ती संख्या और विक्रेताओं की ओर से पैच के बारे में सरल भाषा में विश्वसनीय जानकारी प्रदान करने में बढ़ती अनिच्छा के बारे में चेतावनी दी थी। इस बीच, यह चलन तेज़ हो गया है, कुछ कंपनियाँ पैचिंग की पूरी तरह से उपेक्षा कर रही हैं। परिणामस्वरूप, उनके ग्राहक और संपूर्ण उद्योग परिहार्य और बढ़ते जोखिमों के संपर्क में हैं। इसलिए, क्लाउड-आधारित सेवाओं को मजबूत करने और उपयोगकर्ताओं को संभावित जोखिमों से बचाने के लिए पैच को प्राथमिकता देने, कमजोरियों को ठीक करने और शोधकर्ताओं, साइबर सुरक्षा विक्रेताओं और क्लाउड सेवा प्रदाताओं के बीच सहयोग को प्रोत्साहित करने के लिए कार्रवाई की तत्काल आवश्यकता है।

1.000 की सूची में 2023 से अधिक कमजोरियाँ

ZDI कार्यक्रम के साथ, ट्रेंड माइक्रो पूरे उद्योग में कमजोरियों की पारदर्शी पैचिंग और सुरक्षा में सुधार के लिए प्रतिबद्ध है। इस प्रतिबद्धता के हिस्से के रूप में, ज़ीरो डे इनिशिएटिव ने हाल ही में कई ज़ीरो-डे कमजोरियों की सूचनाएं प्रकाशित की हैं। एक ट्रेंड माइक्रो जीरो डे इनिशिएटिव (जेडडीआई) द्वारा प्रकाशित भेद्यता सलाह की पूरी सूची अंग्रेजी में उपलब्ध है पहल की वेबसाइट पर। यहां 9.9 या 9.8 के सीवीएसएस मान वाली कमजोरियों का एक अंश दिया गया है। जीरो डे इनिशिएटिव वेबसाइट की सूची में 1.000 से 9.1 के सीवीएसएस मान के साथ 2.5 से अधिक अन्य कमजोरियां सूचीबद्ध हैं।

सीवीएसएस 39 और 9.9 के साथ 9.8 कमजोरियों का अंश

जेडडीआई आईडी	प्रभावित विक्रेता	CVE	सीवीएसएस v3.0
जेडडीआई-23-1044	माइक्रोसॉफ्ट		9.9
जेडडीआई-23-055	VMware	CVE-2022-31702	9.8
जेडडीआई-23-093	कैक्टस	CVE-2022-46169	9.8
जेडडीआई-23-094	netatalk	CVE-2022-43634	9.8
जेडडीआई-23-115	VMware	CVE-2022-31706	9.8
जेडडीआई-23-118	ओरेकल	CVE-2023-21838	9.8
जेडडीआई-23-168	ओरियन	CVE-2022-47506	9.8
जेडडीआई-23-175	ओरेकल	CVE-2023-21890	9.8
जेडडीआई-23-228	इवन्ति	CVE-2022-44574	9.8
जेडडीआई-23-233	Papercut	CVE-2023-27350	9.8
जेडडीआई-23-444	श्नाइडर इलेक्ट्रिक	CVE-2023-29411	9.8
जेडडीआई-23-445	श्नाइडर इलेक्ट्रिक	CVE-2023-29412	9.8
जेडडीआई-23-452	टी.पी.-लिंक	CVE-2023-27359	9.8
जेडडीआई-23-482	VMware	CVE-2023-20864	9.8
जेडडीआई-23-490	कुंजी दृष्टि	CVE-2023-1967	9.8
जेडडीआई-23-587	ट्रेंड माइक्रो	CVE-2023-32523	9.8
जेडडीआई-23-588	ट्रेंड माइक्रो	CVE-2023-32524	9.8
जेडडीआई-23-636	श्नाइडर इलेक्ट्रिक	CVE-2022-42970	9.8
जेडडीआई-23-637	श्नाइडर इलेक्ट्रिक	CVE-2022-42971	9.8
जेडडीआई-23-672	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1133	9.8
जेडडीआई-23-674	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1140	9.8
जेडडीआई-23-679	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1136	9.8
जेडडीआई-23-680	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1139	9.8
जेडडीआई-23-681	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1145	9.8
जेडडीआई-23-683	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-1133	9.8
जेडडीआई-23-687	विहित		9.8
जेडडीआई-23-690	विहित		9.8
जेडडीआई-23-702	Linux	CVE-2023-32254	9.8
जेडडीआई-23-714	D-लिंक	CVE-2023-32169	9.8
जेडडीआई-23-716	D-लिंक	CVE-2023-32165	9.8
जेडडीआई-23-720	Moxa	CVE-2023-33236	9.8
जेडडीआई-23-840	VMware	CVE-2023-20887	9.8
जेडडीआई-23-882	माइक्रोसॉफ्ट	CVE-2023-29357	9.8
जेडडीआई-23-897	प्रगति सॉफ्टवेयर	CVE-2023-36934	9.8
जेडडीआई-23-906	डेल्टा इलेक्ट्रॉनिक्स	CVE-2023-34347	9.8
जेडडीआई-23-920	NETGEAR	CVE-2023-38096	9.8
जेडडीआई-23-1025	त्रिभुज माइक्रोवर्क्स	CVE-2023-39457	9.8
जेडडीआई-23-1046	प्रेरक स्वचालन	CVE-2023-39476	9.8
जेडडीआई-23-1047	प्रेरक स्वचालन	CVE-2023-39475	9.8

ZeroDayInitiative.com पर और अधिक

 

---

ट्रेंड माइक्रो के बारे में

आईटी सुरक्षा के दुनिया के अग्रणी प्रदाताओं में से एक के रूप में, ट्रेंड माइक्रो डिजिटल डेटा एक्सचेंज के लिए एक सुरक्षित दुनिया बनाने में मदद करता है। 30 से अधिक वर्षों की सुरक्षा विशेषज्ञता, वैश्विक खतरा अनुसंधान और निरंतर नवाचार के साथ, ट्रेंड माइक्रो व्यवसायों, सरकारी एजेंसियों और उपभोक्ताओं के लिए सुरक्षा प्रदान करता है। हमारी XGen™ सुरक्षा रणनीति के लिए धन्यवाद, हमारे समाधान अग्रणी-एज वातावरण के लिए अनुकूलित रक्षा तकनीकों के एक क्रॉस-जेनरेशनल संयोजन से लाभान्वित होते हैं। नेटवर्क की खतरे की जानकारी बेहतर और तेज सुरक्षा को सक्षम बनाती है। क्लाउड वर्कलोड, एंडपॉइंट्स, ईमेल, IIoT और नेटवर्क के लिए अनुकूलित, हमारे कनेक्टेड समाधान तेजी से खतरे का पता लगाने और प्रतिक्रिया के लिए पूरे उद्यम में केंद्रीकृत दृश्यता प्रदान करते हैं।

---

 

विषय से संबंधित लेख