Menu Close

Apple iCloud, Twitter और Minecraft की चपेट में…

Apple सहित कई लोकप्रिय सेवाएं आईक्लाउड, ट्विटर, क्लाउडफ्लेयर, Minecraft और स्टीम, एक लोकप्रिय जावा लॉगिंग लाइब्रेरी को प्रभावित करने वाले शून्य-दिन के शोषण के लिए कथित तौर पर कमजोर हैं।

भेद्यता, जिसे लूनासेक के शोधकर्ताओं द्वारा “लॉग4शेल” करार दिया गया और इसका श्रेय चेन झाओजुन को दिया गया। अलीबाबा, Apache Log4j में पाया गया है, an खुला स्त्रोत लॉगिंग उपयोगिता जो बड़ी संख्या में ऐप्स, वेबसाइटों और सेवाओं में उपयोग की जाती है। Log4Shell को पहली बार Microsoft के स्वामित्व वाले Minecraft में खोजा गया था, हालांकि LunaSec ने चेतावनी दी है कि लगभग सभी प्रमुख जावा-आधारित एंटरप्राइज़ ऐप और सर्वर में Log4j की “सर्वव्यापी” उपस्थिति के कारण “कई, कई सेवाएँ” इस शोषण के लिए असुरक्षित हैं। में ब्लॉग भेजा, साइबर सुरक्षा कंपनी ने चेतावनी दी कि अपाचे स्ट्रट्स का उपयोग करने वाला कोई भी व्यक्ति “संभावित रूप से कमजोर” है।

सर्वर वाली कंपनियां की पुष्टि अब तक Log4Shell हमले के प्रति संवेदनशील होने के लिए Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent और Elastic शामिल हैं, हालांकि सैकड़ों नहीं तो हजारों अन्य संगठन प्रभावित हो सकते हैं। टेकक्रंच को दिए गए एक बयान में, क्लाउडफ्लेयर ने कहा कि उसने हमलों को रोकने के लिए सिस्टम को अपडेट किया है, और कहा कि इसमें शोषण का कोई सबूत नहीं है।

एनएसए में साइबर सुरक्षा के निदेशक रॉबर्ट जॉयस, पुष्टि की है कि GHIDRA, एजेंसी द्वारा विकसित एक स्वतंत्र और खुला स्रोत रिवर्स इंजीनियरिंग उपकरण भी प्रभावित होता है: “लॉग4j भेद्यता शोषण के लिए एक महत्वपूर्ण खतरा है, क्योंकि सॉफ्टवेयर ढांचे, यहां तक ​​कि एनएसए के GHIDRA में व्यापक समावेश के कारण,” उन्होंने कहा।

कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी) न्यूजीलैंड के लिए, डॉयचे टेलीकॉम का CERT, और यह ग्रेनोइस वेब निगरानी सेवा ने सभी को चेतावनी दी है कि हमलावर सक्रिय रूप से Log4Shell हमलों के प्रति संवेदनशील सर्वर की तलाश कर रहे हैं। उत्तरार्द्ध के अनुसार, बाद वाले के अनुसार, लगभग 100 विशिष्ट मेजबान स्कैन कर रहे हैं Log4j भेद्यता का फायदा उठाने के तरीकों के लिए इंटरनेट।

हैकरऑन के एक वरिष्ठ सुरक्षा प्रौद्योगिकीविद् कायला अंडरकॉफ़लर ने टेकक्रंच को बताया कि यह शून्य-दिन “खतरे को उजागर करता है जो ओपन सोर्स सॉफ़्टवेयर दुनिया की महत्वपूर्ण आपूर्ति श्रृंखला हमले सतहों के बढ़ते हिस्से के रूप में प्रस्तुत करता है।”

अंडरकॉफ़लर ने कहा, “ओपन सोर्स सॉफ्टवेयर लगभग सभी आधुनिक डिजिटल इंफ्रास्ट्रक्चर के पीछे है, जिसमें औसत एप्लिकेशन 528 विभिन्न ओपन सोर्स घटकों का उपयोग करता है।” “2020 में खोजे गए अधिकांश उच्च जोखिम वाले ओपन सोर्स कमजोरियां भी दो साल से अधिक समय से कोड में मौजूद हैं और अधिकांश संगठनों में इन कमजोरियों को आसानी से ठीक करने के लिए आपूर्ति श्रृंखला के भीतर ओपन सोर्स सॉफ़्टवेयर पर प्रत्यक्ष नियंत्रण की कमी है। इस पर निर्भर किसी भी संगठन के लिए अक्सर खराब वित्त पोषित सॉफ़्टवेयर को सुरक्षित करना अनिवार्य है।”

Apache Software Foundation ने Log4j में शून्य-दिन की भेद्यता को पैच करने के लिए आज एक आपातकालीन सुरक्षा अद्यतन जारी किया है, साथ ही उन लोगों के लिए शमन कदम जो तुरंत अपडेट करने में असमर्थ हैं। गेम डेवलपर Mojang Studios ने बग को ठीक करने के लिए एक आपातकालीन Minecraft सुरक्षा अपडेट भी जारी किया है।

Cloudflare की टिप्पणी के साथ अपडेट किया गया।


Leave a Reply

Your email address will not be published. Required fields are marked *