শেষ দিনগুলিতে নেটে Log4 এর দুর্বলতা নিয়ে অনেক কথা হয়েছেj যাতে বিভিন্ন আক্রমণ ভেক্টর আবিষ্কৃত হয়েছে এবং দুর্বলতা কাজে লাগানোর জন্য বিভিন্ন কার্যকরী শোষণও ফিল্টার করা হয়েছে।
বিষয়টির গুরুত্ব হল জাভা অ্যাপ্লিকেশনগুলিতে রেজিস্ট্রি সংগঠিত করার জন্য এটি একটি জনপ্রিয় কাঠামো।, যা "{jndi: URL}" ফরম্যাটে রেজিস্ট্রিতে একটি বিশেষ ফর্ম্যাট করা মান লেখা হলে নির্বিচারে কোড চালানোর অনুমতি দেয়। আক্রমণটি জাভা অ্যাপ্লিকেশনগুলিতে করা যেতে পারে যা বহিরাগত উত্স থেকে প্রাপ্ত মানগুলি লগ করে, উদাহরণস্বরূপ ত্রুটি বার্তাগুলিতে সমস্যাযুক্ত মানগুলি প্রদর্শন করে।
এবং যে হয় আক্রমণকারী একটি টার্গেট সিস্টেমে একটি HTTP অনুরোধ করে, যা Log4j 2 ব্যবহার করে একটি লগ তৈরি করে যা আক্রমণকারী-নিয়ন্ত্রিত সাইটে একটি অনুরোধ করতে JNDI ব্যবহার করে। দুর্বলতা তখন শোষিত প্রক্রিয়াটিকে সাইটে পৌঁছাতে এবং পেলোড কার্যকর করতে দেয়। অনেক পর্যবেক্ষণ করা আক্রমণে, আক্রমণকারীর অন্তর্গত প্যারামিটার হল একটি DNS রেজিস্ট্রেশন সিস্টেম, যা দুর্বল সিস্টেম শনাক্ত করার জন্য সাইটে একটি অনুরোধ নিবন্ধনের উদ্দেশ্যে।
আমাদের সহকর্মী আইজ্যাক ইতিমধ্যে শেয়ার করেছেন:
Log4j-এর এই দুর্বলতা LDAP-তে একটি ভুল ইনপুট বৈধতাকে কাজে লাগানোর অনুমতি দেয়, অনুমতি দেয় দূরবর্তী কোড নির্বাহ (RCE), এবং সার্ভারের সাথে আপস করা (গোপনীয়তা, ডেটা অখণ্ডতা এবং সিস্টেমের প্রাপ্যতা)। এছাড়াও, এই দুর্বলতার সমস্যা বা গুরুত্ব রয়েছে যেগুলি ব্যবহার করে এমন অ্যাপ্লিকেশন এবং সার্ভারের সংখ্যার মধ্যে রয়েছে, যার মধ্যে রয়েছে ব্যবসায়িক সফ্টওয়্যার এবং ক্লাউড পরিষেবা যেমন Apple iCloud, Steam, বা Minecraft: Java Edition, Twitter, Cloudflare, এর মতো জনপ্রিয় ভিডিও গেম টেনসেন্ট, ইলাস্টিক সার্চ, রেডিস, ইলাস্টিক লগস্ট্যাশ এবং একটি দীর্ঘ ইত্যাদি।
সম্প্রতি এ বিষয়ে কথা বলতে গিয়ে ড অ্যাপাচি সফটওয়্যার ফাউন্ডেশন প্রকাশিত হয়েছে মাধ্যমে একটি পোস্ট Log4j 2-এ একটি জটিল দুর্বলতাকে মোকাবেলা করে এমন প্রকল্পের সারাংশ যা সার্ভারে নির্বিচারে কোড চালানোর অনুমতি দেয়।
নিম্নলিখিত Apache প্রকল্পগুলি প্রভাবিত হয়েছে: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl, এবং Calcite Avatica। দুর্বলতা GitHub.com, GitHub এন্টারপ্রাইজ ক্লাউড এবং GitHub এন্টারপ্রাইজ সার্ভার সহ GitHub পণ্যগুলিকেও প্রভাবিত করেছে।
সাম্প্রতিক দিনগুলিতে উল্লেখযোগ্য বৃদ্ধি হয়েছে দুর্বলতার শোষণ সম্পর্কিত কার্যকলাপের। উদাহরণ স্বরূপ, চেক পয়েন্ট তার কাল্পনিক সার্ভারে প্রতি মিনিটে প্রায় 100টি শোষণ প্রচেষ্টা লগ ইন করেছে এটির শীর্ষে, এবং Sophos একটি নতুন ক্রিপ্টোকারেন্সি মাইনিং বটনেট আবিষ্কারের ঘোষণা করেছে, যা Log4j 2-এ একটি অপ্রচলিত দুর্বলতা সহ সিস্টেম থেকে গঠিত।
সমস্যা সম্পর্কে প্রকাশিত তথ্য সম্পর্কে:
- কাউচবেস, ইলাস্টিকসার্চ, ফ্লিঙ্ক, সোলার, স্টর্ম ইমেজ ইত্যাদি সহ অনেক অফিসিয়াল ডকার ইমেজে দুর্বলতা নিশ্চিত করা হয়েছে।
- মঙ্গোডিবি অ্যাটলাস অনুসন্ধান পণ্যে দুর্বলতা বিদ্যমান।
- সমস্যাটি সিসকো ওয়েবেক্স মিটিং সার্ভার, সিসকো সিএক্স ক্লাউড এজেন্ট, সিসকো সহ বিভিন্ন সিসকো পণ্যে উপস্থিত হয়
- অ্যাডভান্সড ওয়েব সিকিউরিটি রিপোর্টিং, সিসকো ফায়ারপাওয়ার থ্রেট ডিফেন্স (এফটিডি), সিসকো আইডেন্টিটি সার্ভিস ইঞ্জিন (আইএসই), সিসকো ক্লাউড সেন্টার, সিসকো ডিএনএ সেন্টার, সিসকো৷ ব্রডওয়ার্কস, ইত্যাদি
- সমস্যাটি IBM WebSphere অ্যাপ্লিকেশন সার্ভারে এবং নিম্নলিখিত Red Hat পণ্যগুলিতে উপস্থিত রয়েছে: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse, এবং AMQ স্ট্রীম।
- জুনোস স্পেস নেটওয়ার্ক ম্যানেজমেন্ট প্ল্যাটফর্ম, নর্থস্টার কন্ট্রোলার / প্ল্যানার, প্যারাগন ইনসাইটস / পাথফাইন্ডার / প্ল্যানারে নিশ্চিত হওয়া সমস্যা।
- Oracle, vmWare, Broadcom, এবং Amazon-এর অনেক পণ্যও প্রভাবিত হয়েছে।
Apache প্রকল্পগুলি যেগুলি Log4j 2 দুর্বলতার দ্বারা প্রভাবিত হয় না: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper, এবং CloudStack৷
সমস্যাযুক্ত প্যাকেজের ব্যবহারকারীদের অবিলম্বে প্রকাশিত আপডেটগুলি ইনস্টল করার পরামর্শ দেওয়া হচ্ছে তাদের জন্য, আলাদাভাবে Log4j 2 এর সংস্করণ আপডেট করুন বা Log4j2.formatMsgNoLookups প্যারামিটারটিকে সত্যে সেট করুন (উদাহরণস্বরূপ, স্টার্টআপে "-DLog4j2.formatMsgNoLookup = True" কী যোগ করা)।
সিস্টেমটি লক করার জন্য ঝুঁকিপূর্ণ যেখানে সরাসরি অ্যাক্সেস নেই, এটি Logout4Shell ভ্যাকসিন ব্যবহার করার পরামর্শ দেওয়া হয়েছিল, যা আক্রমণের মাধ্যমে জাভা সেটিং "log4j2.formatMsgNoLookups = true", "com.sun.jndi" প্রকাশ করে .rmi.অবজেক্ট। trustURLCodebase = মিথ্যা "এবং" com.sun.jndi.cosnaming.object.trustURLCodebase = মিথ্যা "অনিয়ন্ত্রিত সিস্টেমে দুর্বলতার আরও প্রকাশকে ব্লক করতে।