প্রধান টেকওয়ে
- হাজার হাজার অনলাইন সার্ভার এবং পরিষেবাগুলি এখনও বিপজ্জনক, এবং সহজে শোষণযোগ্য loj4j দুর্বলতার সংস্পর্শে রয়েছে, গবেষকরা খুঁজুন৷
- যদিও প্রাথমিক হুমকি হল সার্ভারগুলি নিজেই, উন্মুক্ত সার্ভারগুলি শেষ-ব্যবহারকারীদেরও ঝুঁকির মধ্যে ফেলতে পারে, সাইবার নিরাপত্তা বিশেষজ্ঞদের পরামর্শ দেয়৷
- দুর্ভাগ্যবশত, সবচেয়ে কম ডেস্কটপ নিরাপত্তা পদ্ধতি অনুসরণ করার পাশাপাশি সমস্যা সমাধানের জন্য বেশিরভাগ ব্যবহারকারীই করতে পারেন।
বিপজ্জনক log4J দুর্বলতা মরতে অস্বীকার করে, এমনকি সহজে শোষণযোগ্য বাগটির সমাধান করার কয়েক মাস পরেও৷
Rezilion-এর সাইবারসিকিউরিটি গবেষকরা সম্প্রতি 90,000টিরও বেশি দুর্বল ইন্টারনেট-মুখী অ্যাপ্লিকেশন আবিষ্কার করেছেন, যার মধ্যে 68,000 টিরও বেশি সম্ভাব্য দুর্বল Minecraft সার্ভার রয়েছে যার প্রশাসকরা এখনও নিরাপত্তা প্যাচ প্রয়োগ করেননি, তাদের এবং তাদের ব্যবহারকারীদের সাইবার আক্রমণে উন্মুক্ত করেছে৷ এবং এটি সম্পর্কে আপনি খুব কমই করতে পারেন৷
"দুর্ভাগ্যবশত, log4j আমাদের ইন্টারনেট ব্যবহারকারীদের বেশ কিছু সময়ের জন্য তাড়িত করবে," সাইবার নিরাপত্তা পরিষেবা প্রদানকারী সাইফিয়ারের ডিরেক্টর হারমান সিং লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন। "যেহেতু এই সমস্যাটি সার্ভার-সাইড থেকে শোষিত হয়, [লোকেরা] সার্ভারের আপসের প্রভাব এড়াতে অনেক কিছু করতে পারে না।"
দ্য হন্টিং
লগ৪ শেল নামে পরিচিত এই দুর্বলতাটি প্রথম বিশদভাবে 2021 সালের ডিসেম্বরে বিশদভাবে প্রকাশ করা হয়েছিল। তখন একটি ফোন ব্রিফিংয়ে, মার্কিন সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এর পরিচালক জেন ইস্টারলি, দুর্বলতাটিকে "সবচেয়ে একটি" হিসাবে বর্ণনা করেছিলেন গুরুতর যা আমি আমার পুরো ক্যারিয়ারে দেখেছি, যদি সবচেয়ে গুরুতর না হয়।"
লাইফওয়্যারের সাথে একটি ইমেল বিনিময়ে, সাইবারসিকিউরিটি টেস্টিং এবং ট্রেনিং কোম্পানি সিমস্পেস-এর নির্দেশনামূলক লিড পিট হে বলেছেন, অ্যাপল, স্টিমের মতো জনপ্রিয় বিক্রেতাদের থেকে দুর্বল পরিষেবা এবং অ্যাপ্লিকেশনগুলির সংকলন থেকে সমস্যার পরিধি অনুমান করা যেতে পারে।, Twitter, Amazon, LinkedIn, Tesla, এবং আরও কয়েক ডজন। আশ্চর্যজনকভাবে, সাইবার সিকিউরিটি সম্প্রদায় সম্পূর্ণ শক্তির সাথে প্রতিক্রিয়া জানায়, অ্যাপাচি প্রায় সাথে সাথেই একটি প্যাচ বের করে দেয়।
তাদের ফলাফলগুলি ভাগ করে, রেজিলিয়ন গবেষকরা আশা করেছিলেন যে বাগটির চারপাশে প্রচুর পরিমাণে মিডিয়া কভারেজের কারণে, সমস্ত না হলে, দুর্বল সার্ভারগুলির বেশিরভাগই প্যাচ করা হত। "আমরা ভুল ছিলাম," বিস্মিত গবেষকরা লিখুন। "দুর্ভাগ্যবশত, জিনিসগুলি আদর্শ থেকে অনেক দূরে, এবং Log4 শেল-এর জন্য ঝুঁকিপূর্ণ অনেক অ্যাপ্লিকেশন এখনও বন্যের মধ্যে বিদ্যমান।"
গবেষকরা শোডান ইন্টারনেট অফ থিংস (IoT) সার্চ ইঞ্জিন ব্যবহার করে দুর্বল দৃষ্টান্ত খুঁজে পেয়েছেন এবং বিশ্বাস করেছেন যে ফলাফলগুলি হিমশৈলের টিপ মাত্র। প্রকৃত ঝুঁকিপূর্ণ আক্রমণ পৃষ্ঠ অনেক বড়।
আপনি কি ঝুঁকিতে আছেন?
অতি তাৎপর্যপূর্ণ উন্মুক্ত আক্রমণের সারফেস সত্ত্বেও, হেই বিশ্বাস করেন যে গড় বাড়ির ব্যবহারকারীদের জন্য কিছু ভালো খবর আছে। "এই [Log4J] দুর্বলতাগুলির বেশিরভাগই অ্যাপ্লিকেশন সার্ভারগুলিতে বিদ্যমান এবং তাই আপনার বাড়ির কম্পিউটারকে প্রভাবিত করার সম্ভাবনা খুব কম," হে বলেছেন৷
তবে, জ্যাক মার্সাল, সাইবার সিকিউরিটি বিক্রেতা হোয়াইটসোর্সের সাথে পণ্য বিপণনের সিনিয়র ডিরেক্টর, উল্লেখ করেছেন যে লোকেরা অনলাইন শপিং থেকে শুরু করে অনলাইন গেমস খেলা পর্যন্ত সমস্ত সময় ইন্টারনেট জুড়ে অ্যাপ্লিকেশনগুলির সাথে যোগাযোগ করে, তাদের সেকেন্ডারি আক্রমণের মুখোমুখি হয়। একটি আপস করা সার্ভার সম্ভাব্যভাবে তাদের ব্যবহারকারী সম্পর্কে পরিষেবা প্রদানকারীর কাছে থাকা সমস্ত তথ্য প্রকাশ করতে পারে৷
"কোনও উপায় নেই যে একজন ব্যক্তি নিশ্চিত হতে পারে যে তারা যে অ্যাপ্লিকেশন সার্ভারগুলির সাথে যোগাযোগ করে সেগুলি আক্রমণের জন্য ঝুঁকিপূর্ণ নয়," মার্সাল সতর্ক করেছিলেন৷ "দৃশ্যমানতা কেবল বিদ্যমান নয়।"
দুর্ভাগ্যবশত, জিনিসগুলি আদর্শ থেকে অনেক দূরে, এবং Log4 Shell-এর জন্য ঝুঁকিপূর্ণ অনেক অ্যাপ্লিকেশন এখনও বন্য অঞ্চলে বিদ্যমান৷
একটি ইতিবাচক নোটে, সিং উল্লেখ করেছেন যে কিছু বিক্রেতারা বাড়ির ব্যবহারকারীদের জন্য দুর্বলতা মোকাবেলা করা মোটামুটি সহজ করে তুলেছে। উদাহরণস্বরূপ, অফিসিয়াল মাইনক্রাফ্ট নোটিশের দিকে ইঙ্গিত করে, তিনি বলেছিলেন যে যারা গেমটির জাভা সংস্করণ খেলেন তাদের কেবল গেমের সমস্ত চলমান উদাহরণ বন্ধ করতে হবে এবং মাইনক্রাফ্ট লঞ্চারটি পুনরায় চালু করতে হবে, যা স্বয়ংক্রিয়ভাবে প্যাচ করা সংস্করণটি ডাউনলোড করবে।
প্রক্রিয়াটি একটু বেশি জটিল এবং জড়িত যদি আপনি নিশ্চিত না হন যে আপনি আপনার কম্পিউটারে কোন জাভা অ্যাপ্লিকেশন চালাচ্ছেন৷ Hay.jar,.ear, বা.war এক্সটেনশন সহ ফাইল খোঁজার পরামর্শ দিয়েছে। যাইহোক, তিনি যোগ করেছেন যে এই ফাইলগুলির উপস্থিতি log4j দুর্বলতার সংস্পর্শে এসেছে কিনা তা নির্ধারণ করার জন্য যথেষ্ট নয়৷
তিনি পরামর্শ দিয়েছিলেন যে লোকেরা কার্নেগি মেলন ইউনিভার্সিটি (সিএমইউ) সফ্টওয়্যার ইঞ্জিনিয়ারিং ইনস্টিটিউট (এসইআই) কম্পিউটার ইমার্জেন্সি রেডিনেস টিম (সিইআরটি) দ্বারা দেওয়া স্ক্রিপ্টগুলি ব্যবহার করে তাদের কম্পিউটারগুলিকে দুর্বলতার জন্য ট্রল করতে৷ যাইহোক, স্ক্রিপ্টগুলি গ্রাফিকাল নয় এবং সেগুলি ব্যবহার করার জন্য কমান্ড লাইনে নামতে হবে।
সমস্ত বিষয় বিবেচনা করে, মার্সাল বিশ্বাস করতেন যে আজকের সংযুক্ত বিশ্বে, নিরাপদ থাকার জন্য তাদের সর্বোত্তম প্রচেষ্টা প্রয়োগ করা প্রত্যেকের উপর নির্ভর করে। সিং সম্মত হন এবং দুর্বলতাকে কাজে লাগিয়ে স্থায়ী যে কোনও দূষিত কার্যকলাপের শীর্ষে থাকার জন্য সাধারণ ডেস্কটপ সুরক্ষা অনুশীলনগুলি অনুসরণ করার পরামর্শ দেন৷
"[লোকেরা] নিশ্চিত করতে পারে যে তাদের সিস্টেম এবং ডিভাইসগুলি আপডেট করা হয়েছে এবং এন্ডপয়েন্ট সুরক্ষা রয়েছে, " সিং পরামর্শ দিয়েছেন৷ "এটি তাদের যেকোন জালিয়াতি সতর্কতা এবং বন্য শোষণের ফলের বিরুদ্ধে প্রতিরোধে সহায়তা করবে।"
