हॅकर्स Log4J मधील गंभीर त्रुटींचा सक्रियपणे शोषण करत आहेत

मधील असुरक्षिततेबद्दल नेटवर बरीच चर्चा झाली आहे Log4J जो आक्रमणकर्त्याला दूरस्थपणे अनियंत्रित कोड अंमलबजावणी ट्रिगर करण्यास अनुमती देतो इव्हेंट लॉग करण्यासाठी log4j लायब्ररी वापरणाऱ्या अॅप्लिकेशनला डेटा पाठवण्याची क्षमता तुमच्याकडे असल्यास.

हा हल्ला प्रमाणीकृत केल्याशिवाय केले जाऊ शकतेउदाहरणार्थ, प्रमाणीकरण त्रुटी लॉग करणाऱ्या प्रमाणीकरण पृष्ठाचा लाभ घेऊन.

या दोषामुळे सायबरसुरक्षिततेमध्ये तज्ञ असलेल्या कंपन्यांना इव्हेंटवर काम करायला लावले आहे आणि या त्रुटीचा फायदा घेणाऱ्या हल्ल्यांची संख्या वाढत असल्याचे सूचित करते.

चे सदस्य Apache Software Foundation ने एक पॅच विकसित केला आहे असुरक्षा दुरुस्त करण्यासाठी आणि त्याची आवृत्ती 2.15.0 आहे, या व्यतिरिक्त जोखीम कमी करण्यासाठी संभाव्य उपाय देखील ज्ञात केले गेले आहेत.

Apache Log4j म्हणजे काय? दोष किती गंभीर आहे?

ज्यांना अजूनही ही समस्या किती गंभीर आहे हे माहित नाही त्यांच्यासाठी मी ते सांगू शकतो 9 डिसेंबर रोजी, l मध्ये एक असुरक्षितता आढळलीलायब्ररी रेकॉर्ड करण्यासाठी log4j अपाचे.

हे वाचनालय अनुप्रयोग विकास प्रकल्पांमध्ये मोठ्या प्रमाणावर वापरले जाते Java / J2EE तसेच मानक Java / J2EE-आधारित सॉफ्टवेअर समाधान प्रदाते.

log4j एक शोध यंत्रणा समाविष्ट करते जी क्वेरी करण्यासाठी वापरली जाऊ शकते फॉरमॅट स्ट्रिंगमध्ये विशेष सिंटॅक्सद्वारे. उदाहरणार्थ, $ {java: version} इ. द्वारे Java वातावरणाच्या आवृत्तीसारख्या विविध पॅरामीटर्सची विनंती करण्यासाठी याचा वापर केला जाऊ शकतो.

नंतर स्ट्रिंगमध्ये jndi की निर्दिष्ट करणे, शोध यंत्रणा JNDI API वापरा. डीफॉल्टनुसार, सर्व विनंत्या जावा उपसर्गासह केल्या जातात: comp/env/*; तथापि, लेखकांनी की मध्ये कोलन वापरून सानुकूल उपसर्ग वापरण्याचा पर्याय लागू केला.

येथेच भेद्यता आहे: sijndi: ldap:// की म्हणून वापरली जाते, विनंती निर्दिष्ट LDAP सर्व्हरकडे जाते. इतर संप्रेषण प्रोटोकॉल जसे की LDAPS, DNS आणि RMI देखील वापरले जाऊ शकतात.

म्हणून, आक्रमणकर्त्याद्वारे नियंत्रित केलेला रिमोट सर्व्हर एखाद्या असुरक्षित सर्व्हरवर ऑब्जेक्ट परत करू शकतो, ज्यामुळे सिस्टमवर अनियंत्रित कोडची अंमलबजावणी किंवा गोपनीय डेटा लीक होऊ शकतो.

आक्रमणकर्त्याला फक्त एक विशेष स्ट्रिंग पाठवायची असते ही स्ट्रिंग लॉग फाइलवर लिहिणाऱ्या यंत्रणेद्वारे आणि त्यामुळे Log4j लायब्ररीद्वारे व्यवस्थापित केली जाते.

हे साध्या HTTP विनंत्यांसह केले जाऊ शकते, उदाहरणार्थ वेब फॉर्म, डेटा फील्ड इत्यादीद्वारे पाठवलेल्या, किंवा सर्व्हर-साइड नोंदणी वापरून इतर कोणत्याही प्रकारच्या परस्परसंवादांसह.

टेनेबलने असुरक्षा "गेल्या दशकातील सर्वात महत्वाची आणि गंभीर असुरक्षा" म्हणून दर्शविली.

संकल्पनेचा पुरावा आधीच प्रकाशित झाला आहे. या असुरक्षिततेचा आता सक्रियपणे वापर केला जात आहे.

भेद्यतेची तीव्रता आहे जास्तीत जास्त CVSS स्केलवर 10.

प्रभावित सिस्टमची यादी येथे आहे:

  • Apache Log4j आवृत्त्या 2.0 ते 2.14.1
  • Apache Log4j आवृत्त्या 1.x (अप्रचलित आवृत्त्या) विशेष कॉन्फिगरेशनच्या अधीन आहेत.
  • Apache Log4j ची असुरक्षित आवृत्ती वापरणारी उत्पादने - युरोपियन राष्ट्रीय सीईआरटी उत्पादनांची संपूर्ण यादी आणि त्यांची असुरक्षितता स्थिती ठेवतात

CERT-FR ने नेटवर्क लॉगचे सखोल विश्लेषण करण्याची शिफारस केली आहे. जेव्हा URL किंवा विशिष्ट HTTP शीर्षलेख वापरकर्ता-एजंट म्हणून वापरले जातात तेव्हा या भेद्यतेचा फायदा घेण्याचा प्रयत्न ओळखण्यासाठी खालील कारणे वापरली जाऊ शकतात

शेवटी हे नमूद करण्यासारखे आहे शक्य तितक्या लवकर log2.15.0j आवृत्ती 4 वापरण्याची जोरदार शिफारस केली जाते.

तथापि, या आवृत्तीवर स्थलांतरित करण्यात अडचणी आल्यास, खालील उपाय तात्पुरते लागू केले जाऊ शकतात:
log2.7.0j लायब्ररीच्या 4 आणि नंतरच्या आवृत्त्या वापरणार्‍या अनुप्रयोगांसाठी, वापरकर्त्याने प्रदान केलेल्या डेटासाठी सिंटॅक्स %m {nolookups} सह लॉग इन केल्या जाणाऱ्या इव्हेंटचे स्वरूप बदलून कोणत्याही हल्ल्यापासून संरक्षण करणे शक्य आहे. .

या सुधारणेसाठी अनुप्रयोगाची नवीन आवृत्ती तयार करण्यासाठी log4j कॉन्फिगरेशन फाइलमध्ये सुधारणा करणे आवश्यक आहे. म्हणून, ही नवीन आवृत्ती उपयोजित करण्यापूर्वी तांत्रिक आणि कार्यात्मक प्रमाणीकरण चरण पुन्हा करणे आवश्यक आहे.

log2.10.0j लायब्ररीच्या 4 आणि नंतरच्या आवृत्त्या वापरणाऱ्या अनुप्रयोगांसाठी, कॉन्फिगरेशन पॅरामीटर log4j2.formatMsgNoLo बदलून कोणत्याही हल्ल्यापासून संरक्षण करणे देखील शक्य आहे.


टिप्पणी करणारे सर्वप्रथम व्हा

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.