Menu Close

एक Log4J भेद्यता ने इंटरनेट को ‘आग’ कर दिया है

में एक भेद्यता एक व्यापक रूप से उपयोग की जाने वाली लॉगिंग लाइब्रेरी एक पूर्ण विकसित सुरक्षा मंदी बन गई है, जो पूरे इंटरनेट पर डिजिटल सिस्टम को प्रभावित कर रही है। हैकर्स पहले से ही इसका फायदा उठाने की कोशिश कर रहे हैं, लेकिन जैसे ही सुधार सामने आते हैं, शोधकर्ताओं ने चेतावनी दी है कि इस दोष के दुनिया भर में गंभीर परिणाम हो सकते हैं।

समस्या Log4j में है, जो एक सर्वव्यापी, खुला स्रोत अपाचे लॉगिंग ढांचा है जिसका उपयोग डेवलपर्स किसी एप्लिकेशन के भीतर गतिविधि का रिकॉर्ड रखने के लिए करते हैं। सुरक्षा प्रत्युत्तरकर्ता बग को ठीक करने के लिए हाथ-पांव मार रहे हैं, जिसका उपयोग आसानी से कमजोर सिस्टम को दूरस्थ रूप से नियंत्रित करने के लिए किया जा सकता है। साथ ही, हैकर्स प्रभावित सिस्टम के लिए इंटरनेट को सक्रिय रूप से स्कैन कर रहे हैं। कुछ ने पहले से ही ऐसे उपकरण विकसित कर लिए हैं जो स्वचालित रूप से बग का फायदा उठाने का प्रयास करते हैं, साथ ही ऐसे कीड़े भी होते हैं जो सही परिस्थितियों में एक कमजोर प्रणाली से दूसरे में स्वतंत्र रूप से फैल सकते हैं।

Log4j एक जावा लाइब्रेरी है, और जबकि प्रोग्रामिंग भाषा इन दिनों उपभोक्ताओं के बीच कम लोकप्रिय है, यह अभी भी एंटरप्राइज़ सिस्टम और वेब ऐप्स में बहुत व्यापक उपयोग में है। शोधकर्ताओं ने शुक्रवार को वायर्ड को बताया कि उन्हें उम्मीद है कि मुख्यधारा की कई सेवाएं प्रभावित होंगी।

उदाहरण के लिए, माइक्रोसॉफ्ट के स्वामित्व वाली Minecraft शुक्रवार को की तैनाती गेम के जावा संस्करण के खिलाड़ियों को अपने सिस्टम को कैसे पैच करना चाहिए, इसके लिए विस्तृत निर्देश। “यह शोषण कई सेवाओं को प्रभावित करता है – जिसमें Minecraft Java संस्करण भी शामिल है,” पोस्ट पढ़ता है। “यह भेद्यता आपके कंप्यूटर से समझौता किए जाने का संभावित जोखिम पैदा करती है।” क्लाउडफ्लेयर के सीईओ मैथ्यू प्रिंस ट्वीट किए शुक्रवार को यह मुद्दा “इतना बुरा” था कि इंटरनेट इंफ्रास्ट्रक्चर कंपनी कम से कम रोल आउट करने की कोशिश करेगी कुछ सुरक्षा यहां तक ​​कि ग्राहकों के लिए भी इसकी फ्री टियर ऑफ सर्विस पर।

शोषण करने के लिए सभी हमलावर को करना पड़ता है दोष रणनीतिक रूप से एक दुर्भावनापूर्ण कोड स्ट्रिंग भेजता है जो अंततः Log4j संस्करण 2.0 या उच्चतर द्वारा लॉग हो जाता है। शोषण एक हमलावर को एक सर्वर पर मनमाने ढंग से जावा कोड लोड करने देता है, जिससे उन्हें नियंत्रण करने की अनुमति मिलती है।

ओपन सोर्स डेटा सिक्योरिटी प्लेटफॉर्म लूनासेक के सीईओ फ्री वोर्टली कहते हैं, “यह भयावह अनुपात की एक डिजाइन विफलता है।” कंपनी के शोधकर्ता चेतावनी प्रकाशित की और गुरुवार को Log4j भेद्यता का प्रारंभिक मूल्यांकन।

Minecraft मंचों पर प्रसारित होने वाले स्क्रीनशॉट खिलाड़ियों को इस भेद्यता का शोषण करते हुए दिखाते हैं Minecraft चैट समारोह। शुक्रवार को, कुछ ट्विटर उपयोगकर्ताओं ने अपने प्रदर्शन नामों को कोड स्ट्रिंग्स में बदलना शुरू कर दिया जो शोषण को ट्रिगर कर सकते थे। एक अन्य उपयोगकर्ता अपना iPhone नाम बदल दिया ऐसा करने के लिए और Apple को खोज प्रस्तुत की। शोधकर्ताओं ने WIRED को बताया कि दृष्टिकोण संभावित रूप से ईमेल का उपयोग करके भी काम कर सकता है।

संयुक्त राज्य साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी अलर्ट जारी किया शुक्रवार को भेद्यता के बारे में, के रूप में किया गया है ऑस्ट्रेलिया के सीईआरटी। न्यूजीलैंड का सरकारी साइबर सुरक्षा संगठन चेतावनी नोट किया कि भेद्यता का कथित तौर पर सक्रिय रूप से शोषण किया जा रहा है।

“यह बहुत ख़तरनाक बुरा है,” वोर्टली कहते हैं। “इतने सारे लोग असुरक्षित हैं, और इसका फायदा उठाना इतना आसान है। कुछ कम करने वाले कारक हैं, लेकिन यह वास्तविक दुनिया होने के नाते ऐसी कई कंपनियाँ होंगी जो वर्तमान रिलीज़ पर नहीं हैं जो इसे ठीक करने के लिए हाथ-पांव मार रही हैं। ”

अपाचे भेद्यता को “गंभीर” गंभीरता पर रेट करता है और प्रकाशित शुक्रवार को पैच और शमन। संगठन का कहना है कि अलीबाबा क्लाउड सिक्योरिटी टीम के चेन झाओजुन ने सबसे पहले भेद्यता का खुलासा किया।

Leave a Reply

Your email address will not be published. Required fields are marked *