Log4j सुरक्षा दोष पूरे इंटरनेट को खतरे में डालता है: शीर्ष तकनीकी कंपनियां क्या कह रही हैं

प्रमुख तकनीकी कंपनियों की सेवाएं वर्तमान में सामना कर रही हैं, जिसे विशेषज्ञ हाल के समय में सबसे गंभीर सॉफ़्टवेयर दोषों में से एक कह रहे हैं—Log4j भेद्यता। Log4j सॉफ्टवेयर में दोष हैकर्स को कंप्यूटर सिस्टम तक पहुंच की अनुमति दे सकता है और अमेरिकी सरकार की साइबर सुरक्षा एजेंसी द्वारा तत्काल चेतावनी दी गई है।

नई भेद्यता व्यापक रूप से उपयोग की जाने वाली लाइब्रेरी Log4j को प्रभावित करती है जिसे Apache द्वारा बनाया गया था, जो सबसे व्यापक रूप से उपयोग किया जाने वाला वेब सर्वर है। Log4j भेद्यता केवल एक विशिष्ट स्ट्रिंग को टेक्स्टबॉक्स में टाइप करके रिमोट कोड निष्पादन की अनुमति देती है। यह पहली बार Minecraft खिलाड़ियों द्वारा खोजा गया था, लेकिन जल्द ही यह महसूस किया गया कि यह भेद्यता सिर्फ एक Minecraft शोषण नहीं था, बल्कि Log4j लाइब्रेरी का उपयोग करके हर प्रोग्राम पर काम करता है।

यह समझने के लिए कि Log4j कैसे कार्य करता है, हमारे हालिया लेख को देखें जहां हम शोषण और उसके कामकाज के बारे में अधिक जानकारी प्राप्त करते हैं। यह ध्यान दिया जाना चाहिए कि यह बग Log4j के सभी संस्करणों को प्रभावित नहीं करता है, और केवल 2.0 और 2.14.1 के बीच के संस्करणों को प्रभावित करता है।

दिलचस्प बात यह है कि Log4j शोषण पिछले 10 वर्षों में हमारी सबसे खराब कमजोरियों में से एक है। यहां बताया गया है कि कैसे तकनीकी कंपनियां सुरक्षा दोष का जवाब दे रही हैं जो संभावित रूप से पूरे इंटरनेट को जोखिम में डालने में सक्षम है।

Microsoft Microsoft ने कहा कि उसकी ख़तरनाक ख़ुफ़िया टीमें रिमोट कोड एक्ज़ीक्यूशन (RCE) भेद्यता का फायदा उठाने के प्रयासों पर नज़र रख रही हैं। (फोटो: रॉयटर्स)

Microsoft ने शनिवार को कहा कि Log4j भेद्यता, न केवल उन मशीनों को प्रभावित करेगी जो मेरी क्रिप्टोकरेंसी करती हैं, बल्कि क्रेडेंशियल और डेटा चोरी जैसी अधिक गंभीर समस्याएं पैदा कर सकती हैं।

टेक दिग्गज ने कहा कि उसकी ख़तरनाक ख़ुफ़िया टीम रिमोट कोड निष्पादन (RCE) भेद्यता का फायदा उठाने के प्रयासों पर नज़र रख रही है जो गुरुवार देर रात सामने आई थी।

माइक्रोसॉफ्ट ने अपने पोस्ट में कहा है कि “प्रकाशन के समय, अधिकांश देखी गई गतिविधि स्कैनिंग कर रही है, लेकिन शोषण और शोषण के बाद की गतिविधियां भी देखी गई हैं।”

एक अलग ब्लॉग पोस्ट में, Microsoft सुरक्षा प्रतिक्रिया केंद्र ने लिखा है कि इसकी सुरक्षा टीमें “हमारे उत्पादों और सेवाओं की सक्रिय जांच कर रही हैं ताकि यह समझ सकें कि Apache Log4j का उपयोग कहाँ किया जा सकता है,” यह कहते हुए कि यदि कंपनी किसी ग्राहक प्रभाव की पहचान करती है, तो यह होगा उन्हें तुरंत सूचित करें।

Google Google ने अपने सभी उपयोगकर्ताओं को नवीनतम संस्करण में अपडेट करने के लिए Log4j वाले वातावरण का प्रबंधन करने की सलाह दी है। (फोटो: रॉयटर्स)

Google क्लाउड ने अपने सुरक्षा सलाहकार में कहा है कि यह सुरक्षा भेद्यता का सक्रिय रूप से पालन कर रहा है। “हम वर्तमान में Google क्लाउड उत्पादों और सेवाओं के लिए भेद्यता के संभावित प्रभाव का आकलन कर रहे हैं। यह एक सतत घटना है और हम अपने ग्राहक संचार चैनलों के माध्यम से अपडेट प्रदान करना जारी रखेंगे।”

कंपनी ने, अन्य लोगों की तरह, अपने सभी उपयोगकर्ताओं को नवीनतम संस्करण में अपडेट करने के लिए Log4j युक्त वातावरण का प्रबंधन करने की सलाह दी है।

वीएम वेयर वीएम वेयर ने सिफारिश की है कि इसके सभी उपयोगकर्ता पैच को तुरंत अपडेट करें। (फोटोः ट्विटर/वीएमवेयर)

VMWare इंक, जो कंप्यूटर वर्चुअलाइजेशन सॉफ्टवेयर बनाती है, ने गुरुवार को कहा कि उसके कई उत्पाद जावा-आधारित Log4j से प्रभावित होने की संभावना है। क्लाउड कंप्यूटिंग कंपनी ने अपने सभी उत्पादों और संस्करणों को सूचीबद्ध किया है जो भेद्यता से प्रभावित हैं।

कंपनी ने आगे कहा कि शनिवार तक, उसकी सेवाएं सुरक्षित और परिचालन में हैं। “अत्यधिक अनुमेय प्रबंधन गेटवे फ़ायरवॉल नियमों वाले कुछ ग्राहकों ने इंटरनेट पर होने वाली स्कैनिंग और शोषण गतिविधि से अपने जोखिम को कम करने के लिए कार्रवाई की है। प्रभावित लोगों ने VMware से सीधा संचार देखा है, ”कंपनी ने अपने ब्लॉग पोस्ट में जोड़ा।

सभी वातावरण अलग हैं, जोखिम के लिए अलग-अलग सहनशीलता है, और जोखिम को कम करने के लिए अलग-अलग सुरक्षा नियंत्रण और रक्षा-गहराई है, जो Log4j शोषण से संबंधित है “इसलिए आगे बढ़ने का निर्णय आप पर निर्भर है। हालाँकि, गंभीरता को देखते हुए, हम दृढ़ता से अनुशंसा करते हैं कि आप कार्य करें, ”कंपनी अपने सभी उपयोगकर्ताओं को पैच को तुरंत अपडेट करने की सलाह देती है।

सिस्को नोट करता है कि भेद्यता को ट्रिगर करने के लिए अतिरिक्त वैक्टर का उपयोग किया जा सकता है। (फोटो: ट्विटर/सिस्को)

सिस्को टैलोस ने 2 दिसंबर से हमलावर गतिविधि देखी। कंपनी नोट करती है कि भेद्यता को ट्रिगर करने के लिए अतिरिक्त वैक्टर का उपयोग किया जा सकता है।

Log4j आमतौर पर पारंपरिक वेब सर्वरों के अलावा सिस्टम पर चलने वाले विभिन्न प्रकार के सॉफ़्टवेयर में उपयोग किया जाता है, जिसका अर्थ है कि शोषण के अन्य वैक्टरों से इंकार नहीं करना महत्वपूर्ण है। जैसा कि बचावकर्ताओं द्वारा शमन किया जाता है और जैसे ही स्थिति विकसित होती है, सिस्को ने चेतावनी दी कि हैकर्स वेब सर्वर को संक्रमित और हमला करने के नए तरीकों की तलाश करेंगे।

कंपनी ने एक ब्लॉग पोस्ट में कहा, “एक हमलावर प्रणाली और पीड़ित के बीच संचार के विभिन्न पहलुओं को पेश करने और निरीक्षण करने वाले उपकरण भी इस भेद्यता से प्रभावित हो सकते हैं, जिससे उन्हें संभावित समझौता हो सकता है।”

Amazon Amazon का मानना ​​है कि Log4j2 को JDK पर अपग्रेड करने से समस्या कम नहीं होगी। (फोटो: अमेज़न)

अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) ने कहा कि वह ओपन-सोर्स अपाचे “लॉग 4 जे 2” उपयोगिता से संबंधित हाल ही में प्रकट सुरक्षा मुद्दे से अवगत है। “हम सक्रिय रूप से इस मुद्दे की निगरानी कर रहे हैं, और किसी भी एडब्ल्यूएस सेवाओं के लिए इसे संबोधित करने पर काम कर रहे हैं जो या तो Log4j2 का उपयोग करते हैं या ग्राहकों को उनकी सेवा के हिस्से के रूप में प्रदान करते हैं,” अमेज़ॅन द्वारा एक सलाह को आगे बढ़ाया गया।

इस बीच, अमेज़ॅन का मानना ​​​​है कि JDK पर Log4j2 को अपग्रेड करने से समस्या कम नहीं होगी। कंपनी ने कहा कि एकमात्र व्यापक समाधान Log4j 2 को 2.15 में अपग्रेड करना है, और 2.15 से पुराने किसी भी संस्करण को समझौता माना जाना चाहिए।

.