Log4j भेद्यता संभावित रूप से Minecraft, Apple iCloud, Twitter और अन्य को प्रभावित करती है: सब कुछ जानने योग्य

Log4j भेद्यता – पहली बार शुक्रवार को रिपोर्ट की गई – एक साइबर सुरक्षा दुःस्वप्न बन रही है जो संभावित रूप से ऐप्पल के आईक्लाउड से ट्विटर तक माइक्रोसॉफ्ट के माइनक्राफ्ट से अमेज़ॅन और कई अन्य एंटरप्राइज़ उत्पादों की विस्तृत श्रृंखला को प्रभावित करती है।

साइबर सुरक्षा शोधकर्ताओं द्वारा रिपोर्ट की गई Log4j सॉफ्टवेयर दोष हमलावरों को कंप्यूटर सिस्टम तक अनियंत्रित पहुंच की अनुमति दे सकता है, और यहां तक ​​​​कि अमेरिकी सरकार की साइबर सुरक्षा एजेंसी ने भी उसी पर चेतावनी जारी की है। यहां वह सब कुछ है जो हम अब तक जानते हैं।

Log4j भेद्यता क्या है?

भेद्यता को Log4Shell के रूप में भी डब किया गया है और इसे सबसे पहले LunaSec के शोधकर्ताओं द्वारा हाइलाइट किया गया था। Microsoft के स्वामित्व वाले Minecraft में इस मुद्दे की खोज की गई थी, हालांकि LunaSec ने चेतावनी दी है कि Log4j की “सर्वव्यापी” उपस्थिति के कारण “कई, कई सेवाएँ” इस शोषण के लिए असुरक्षित हैं। इसका कारण यह है कि इस विशेष ओपन-सोर्स जावा लाइब्रेरी का उपयोग पूरे उद्योग में लगभग सभी प्रमुख जावा-आधारित एंटरप्राइज़ ऐप्स और सर्वरों में किया जाता है।

डब किए गए CVE-2021-44228 (प्रत्येक सॉफ़्टवेयर भेद्यता को दिया गया आधिकारिक नाम जैसा कि यह खोजा गया है), भेद्यता एक हमलावर को ‘मनमानी कोड’ को नियंत्रित करने और निष्पादित करने और कंप्यूटर सिस्टम तक पहुंच प्राप्त करने की अनुमति दे सकती है। यह एक हैकर को सही तरीके से उपयोग किए जाने पर सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है। जावा में Log4j लाइब्रेरी का उपयोग किसी एप्लिकेशन में सभी गतिविधियों का रिकॉर्ड रखने के लिए किया जाता है और इस प्रकार दुनिया भर के सॉफ़्टवेयर डेवलपर्स द्वारा इसका उपयोग आमतौर पर किया जाता है।

सीवीई पुस्तकालय में तकनीकी परिभाषा में कहा गया है कि “एक हमलावर जो लॉग संदेशों या लॉग संदेश मापदंडों को नियंत्रित कर सकता है, संदेश लुकअप प्रतिस्थापन सक्षम होने पर एलडीएपी सर्वर से लोड किए गए मनमाने कोड को निष्पादित कर सकता है।” यहां चिंताजनक बात यह है कि हैकर्स द्वारा कुछ कंप्यूटर सिस्टम तक पहुंच हासिल करने के लिए शोषण का इस्तेमाल किया गया है, और अब जब शोषण खुले में है, तो कंपनियों को जल्द ही इसे पैच करना होगा।

रिपोर्ट्स के अनुसार, ऐसा प्रतीत होता है कि समस्या Log4j 2.15.0 और इसके बाद के संस्करण पर सभी के लिए पैच कर दी गई है क्योंकि व्यवहार डिफ़ॉल्ट रूप से अक्षम कर दिया गया है।

Log4j से कौन प्रभावित हैं?

साइबर सुरक्षा फर्म LunaSec के अनुसार, कई सेवाएँ Log4Shell शोषण की चपेट में हैं, जिनमें गेमिंग सेवा स्टीम, Apple का iCloud, आदि शामिल हैं। Microsoft के Minecraft ने पहले ही एक बयान जारी कर दिया है कि उपयोगकर्ता इस समस्या से बचने के लिए गेम को कैसे अपडेट कर सकते हैं। अन्य ओपन-सोर्स प्रोजेक्ट जैसे पेपर भी समस्या को ठीक करने के लिए पैच जारी कर रहे हैं, ब्लॉग कहते हैं।

Github पर, Apple, Tencent, स्टीम, Twitter, Baidu, DIDI, JD, NetEase, CloudFlare, Amazon, Tesla, Google, Webex, LinkedIn, आदि के रूप में सूचीबद्ध कंपनियों को प्रभावित किया। LunaSec ने यह भी नोट किया कि केवल एक iPhone का नाम बदलने से ट्रिगर हो रहा था Apple के सर्वर में भेद्यता। अधिकांश कंपनियों ने अभी तक एक बयान जारी नहीं किया है।

इस मुद्दे पर Minecraft ने क्या कहा है?

माइनक्राफ्ट ने एक बयान में कहा कि माइनक्राफ्ट जावा संस्करण प्रभावित हुआ है और इससे कंप्यूटर के खराब होने का खतरा है। जावा संस्करण Minecraft खिलाड़ियों के लिए विंडोज, मैकओएस और लिनक्स के बीच क्रॉसप्ले की अनुमति देता है।

बयान में कहा गया है कि शोषण को “गेम क्लाइंट के सभी संस्करणों के साथ संबोधित किया गया है”, लेकिन उपयोगकर्ताओं को अभी भी गेम और उनके सर्वर को सुरक्षित करने के लिए अतिरिक्त कदम उठाने की आवश्यकता होगी। उन लोगों के लिए जो अपने सर्वर पर Minecraft Java संस्करण की मेजबानी नहीं कर रहे हैं, उन्हें गेम के सभी चल रहे इंस्टेंस और Minecraft Launcher को बंद करना होगा। फिर उन्हें लॉन्चर को फिर से शुरू करना होगा और “पैच किया गया संस्करण स्वचालित रूप से डाउनलोड हो जाएगा।”

संशोधित क्लाइंट और तृतीय-पक्ष लॉन्चरों के लिए, स्वचालित डाउनलोड नहीं हो सकते हैं, और Minecraft “आपके तृतीय-पक्ष प्रदाता की सलाह का पालन करने” की सिफारिश कर रहा है।

“अगर तीसरे पक्ष के प्रदाता ने भेद्यता को पैच नहीं किया है, या यह नहीं कहा है कि यह खेलना सुरक्षित है, तो आपको यह मान लेना चाहिए कि भेद्यता तय नहीं है और आप खेलकर जोखिम में हैं,” बयान में कहा गया है।

इस बीच, नेटएप, जो क्लाउड के लिए डेटा प्रबंधन समाधान प्रदान करता है, ने भी एक बयान दिया है कि इसके उत्पाद कमजोर हैं क्योंकि वे व्यापक रूप से Log4j को अपनाते हैं। बयान में कहा गया है कि 2.15.0 के सभी संस्करण भेद्यता के लिए अतिसंवेदनशील हैं और “इस भेद्यता के सफल शोषण से संवेदनशील जानकारी का खुलासा हो सकता है, डेटा में वृद्धि या संशोधन हो सकता है, या सेवा से इनकार (DoS) हो सकता है।”

वायर्ड के अनुसार, शोधकर्ताओं को संदेह है कि मुख्यधारा की कई सेवाएं प्रभावित होंगी। इसके अलावा, कुछ ट्विटर उपयोगकर्ताओं ने अपने प्रदर्शन नामों को कोड स्ट्रिंग्स में बदलना शुरू कर दिया जो शोषण को ट्रिगर कर सकते थे।

.