প্রধান টেকওয়ে
- হ্যাকাররা একটি বহুল ব্যবহৃত জাভা লগিং লাইব্রেরিতে একটি শোষণ প্রকাশ করে একটি কোড পোস্ট করেছে৷
- সাইবারসিকিউরিটি স্লিউথগুলি শোষণযোগ্য সার্ভার এবং পরিষেবাগুলির সন্ধানে ওয়েব জুড়ে ব্যাপক স্ক্যানিং লক্ষ্য করেছে৷
-
সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) বিক্রেতা এবং ব্যবহারকারীদের তাদের সফ্টওয়্যার এবং পরিষেবাগুলিকে জরুরীভাবে প্যাচ এবং আপডেট করার জন্য অনুরোধ করেছে৷
একটি জনপ্রিয় জাভা লগিং লাইব্রেরি, Log4j-এ সহজে শোষণযোগ্য দুর্বলতার কারণে সাইবার নিরাপত্তা ল্যান্ডস্কেপ জ্বলছে। এটি প্রতিটি জনপ্রিয় সফ্টওয়্যার এবং পরিষেবা দ্বারা ব্যবহৃত হয় এবং সম্ভবত ইতিমধ্যেই দৈনন্দিন ডেস্কটপ এবং স্মার্টফোন ব্যবহারকারীদের প্রভাবিত করতে শুরু করেছে৷
সাইবারসিকিউরিটি বিশেষজ্ঞরা দেখছেন যে Log4j শোষণের জন্য ডার্ক ওয়েবে ইতিমধ্যেই প্রদর্শিত হতে শুরু করেছে, Minecraft সার্ভারগুলিকে শোষণ করা থেকে শুরু করে আরও হাই-প্রোফাইল সমস্যা যা তারা মনে করে Apple iCloud কে প্রভাবিত করতে পারে৷
"এই Log4j দুর্বলতার একটি ট্রিকল-ডাউন প্রভাব রয়েছে, যা সমস্ত বড় সফ্টওয়্যার প্রদানকারীকে প্রভাবিত করে যারা তাদের অ্যাপ্লিকেশন প্যাকিংয়ের অংশ হিসাবে এই উপাদানটি ব্যবহার করতে পারে," হান্ট্রেসের সিনিয়র নিরাপত্তা গবেষক জন হ্যামন্ড, ইমেলের মাধ্যমে লাইফওয়্যারকে বলেছেন। "নিরাপত্তা সম্প্রদায় অ্যাপল, টুইটার, টেসলা, [এবং] ক্লাউডফ্লেয়ারের মতো অন্যান্য প্রযুক্তি নির্মাতাদের থেকে দুর্বল অ্যাপ্লিকেশনগুলি উন্মোচন করেছে৷ আমরা যেমন কথা বলি, শিল্প এখনও বিশাল আক্রমণের পৃষ্ঠটি অনুসন্ধান করছে এবং এই দুর্বলতা তৈরির ঝুঁকি রয়েছে।"
গর্তে আগুন
CVE-2021-44228 হিসাবে ট্র্যাক করা দুর্বলতা এবং Log4Shell ডাব করা হয়েছে, সাধারণ দুর্বলতা স্কোরিং সিস্টেমে (CVSS) এর সর্বোচ্চ তীব্রতা স্কোর 10।
GreyNoise, যা নোটের নিরাপত্তা সংকেত বাছাই করার জন্য ইন্টারনেট ট্রাফিক বিশ্লেষণ করে, 9 ডিসেম্বর, 2021-এ এই দুর্বলতার জন্য প্রথম কার্যকলাপ পর্যবেক্ষণ করে। তখনই অস্ত্রযুক্ত প্রুফ-অফ-কনসেপ্ট এক্সপ্লয়েট (PoCs) প্রদর্শিত হতে শুরু করে, যার ফলে 10 ডিসেম্বর, 2021 এবং সপ্তাহান্তে স্ক্যানিং এবং জনসাধারণের শোষণের দ্রুত বৃদ্ধি।
Log4j ডিভোপস ফ্রেমওয়ার্ক এবং এন্টারপ্রাইজ আইটি সিস্টেমের একটি বিস্তৃত সেট এবং শেষ-ব্যবহারকারী সফ্টওয়্যার এবং জনপ্রিয় ক্লাউড অ্যাপ্লিকেশনগুলিতে ব্যাপকভাবে একত্রিত হয়েছে৷
দুর্বলতার তীব্রতা ব্যাখ্যা করে, ক্লাউডএসইকে-এর একজন হুমকি বিশ্লেষক অনিরুধ বাত্রা লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন যে একজন হুমকি অভিনেতা এটিকে রিমোট সার্ভারে কোড চালানোর জন্য ব্যবহার করতে পারে।
"এটি এমনকি Minecraft এর মতো জনপ্রিয় গেমগুলিকেও দুর্বল করে দিয়েছে। একজন আক্রমণকারী চ্যাটবক্সে একটি পেলোড পোস্ট করে এটিকে কাজে লাগাতে পারে। শুধু Minecraft নয়, iCloud [এবং] স্টিমের মতো অন্যান্য জনপ্রিয় পরিষেবাগুলিও দুর্বল, " বাত্রা ব্যাখ্যা করেছেন, যোগ করেছেন যে "একটি আইফোনে দুর্বলতা ট্রিগার করা ডিভাইসের নাম পরিবর্তন করার মতোই সহজ।"
আইসবার্গের টিপ
সাইবারসিকিউরিটি কোম্পানি টেনেবল পরামর্শ দেয় যে Log4j অনেকগুলি ওয়েব অ্যাপ্লিকেশনে অন্তর্ভুক্ত করা হয়েছে এবং বিভিন্ন ক্লাউড পরিষেবা দ্বারা ব্যবহৃত হয়, তাই কিছু সময়ের জন্য দুর্বলতার সম্পূর্ণ সুযোগ জানা যাবে না৷
কোম্পানিটি একটি GitHub সংগ্রহস্থলের দিকে নির্দেশ করে যা প্রভাবিত পরিষেবাগুলিকে ট্র্যাক করে, যা লেখার সময় Google, LinkedIn, Webex, Blender, এবং অন্যান্যদের মতো জনপ্রিয় সহ প্রায় তিন ডজন নির্মাতা এবং পরিষেবাগুলি তালিকাভুক্ত করে।
যেমন আমরা কথা বলি, শিল্প এখনও বিস্তীর্ণ আক্রমণের পৃষ্ঠের অনুসন্ধান করছে এবং এই দুর্বলতার ঝুঁকি রয়েছে৷
এখন পর্যন্ত, বেশিরভাগ কার্যকলাপ স্ক্যান করা হয়েছে, তবে শোষণ এবং শোষণ-পরবর্তী কার্যকলাপও দেখা গেছে।
"মাইক্রোসফ্ট কয়েন মাইনার ইনস্টল করা, শংসাপত্র চুরি এবং পার্শ্বীয় মুভমেন্ট সক্ষম করার জন্য কোবাল্ট স্ট্রাইক, এবং আপোষকৃত সিস্টেম থেকে ডেটা বের করা সহ কার্যকলাপ পর্যবেক্ষণ করেছে, " মাইক্রোসফ্ট থ্রেট ইন্টেলিজেন্স সেন্টার লিখেছেন৷
ব্যাটেন ডাউন দ্য হ্যাচস
এটা কোন আশ্চর্যের বিষয় নয় যে, Log4j এর শোষণের সহজতার কারণে, GreyNoise-এর প্রতিষ্ঠাতা এবং সিইও অ্যান্ড্রু মরিস লাইফওয়্যারকে বলেছেন যে তিনি বিশ্বাস করেন যে প্রতিকূল কার্যকলাপ আগামী কয়েকদিনে বাড়তে থাকবে।
যদিও, ভালো খবর হল, দুর্বল লাইব্রেরির ডেভেলপার অ্যাপাচি শোষণকে নিরপেক্ষ করার জন্য একটি প্যাচ জারি করেছে। কিন্তু এখন এটি পৃথক সফ্টওয়্যার নির্মাতাদের উপর নির্ভর করে তাদের গ্রাহকদের রক্ষা করার জন্য তাদের সংস্করণগুলি প্যাচ আপ করা।
সাইবারসিকিউরিটি কোম্পানি ইমপারভা-এর CTO কুনাল আনন্দ, লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন যে বেশিরভাগ প্রতিকূল প্রচারাভিযানের দুর্বলতাকে কাজে লাগিয়ে বর্তমানে এন্টারপ্রাইজ ব্যবহারকারীদের দিকে পরিচালিত হচ্ছে, শেষ ব্যবহারকারীদের সতর্ক থাকতে হবে এবং নিশ্চিত করতে হবে যে তারা তাদের প্রভাবিত সফ্টওয়্যার আপডেট করছে। যত তাড়াতাড়ি প্যাচ উপলব্ধ হয়।
সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সির (সিআইএসএ) পরিচালক জেন ইস্টারলি এই অনুভূতির প্রতিধ্বনি করেছিলেন।
"শেষ ব্যবহারকারীরা তাদের বিক্রেতাদের উপর নির্ভর করবে, এবং বিক্রেতা সম্প্রদায়কে অবিলম্বে এই সফ্টওয়্যারটি ব্যবহার করে পণ্যগুলির বিস্তৃত অ্যারে সনাক্ত করতে হবে, প্রশমিত করতে হবে এবং প্যাচ করতে হবে৷ শেষ-ব্যবহারকারীরা জানেন তা নিশ্চিত করতে বিক্রেতাদেরও তাদের গ্রাহকদের সাথে যোগাযোগ করা উচিত৷ যে তাদের পণ্যে এই দুর্বলতা রয়েছে এবং সফ্টওয়্যার আপডেটগুলিকে অগ্রাধিকার দেওয়া উচিত, " ইস্টারলি একটি বিবৃতির মাধ্যমে বলেছে৷