অনেক জাভা-ভিত্তিক অ্যাপ্লিকেশন এবং সার্ভার নতুন Log4Shell শোষণের জন্য ঝুঁকিপূর্ণ
কেন এটি গুরুত্বপূর্ণ: এই সপ্তাহের শুরুতে, ওপেন-সোর্স সিকিউরিটি প্ল্যাটফর্ম LunaSec-এর বিকাশকারীরা একটি শূন্য-দিনের দুর্বলতা আবিষ্কার করেছে যা ব্যাপকভাবে ব্যবহৃত জাভা-ভিত্তিক লগিং লাইব্রেরিকে প্রভাবিত করে। একটি ব্লগ পোস্টে Log4Shell (CVE-2021-44228) হিসাবে চিহ্নিত দুর্বলতা, তৃতীয় পক্ষগুলিকে দুর্বল সিস্টেমে ক্ষতিকারক কোড চালানোর ক্ষমতা দিতে পারে।
দুর্বলতার আবিষ্কারের কৃতিত্ব লুনাসেক এবং আলিবাবা ক্লাউড সিকিউরিটির চেন ঝাওজুনের গবেষকদের । এটি একটি বহুল ব্যবহৃত Apache-ভিত্তিক লগিং ইউটিলিটি, log4j, ক্ষতিকারক পেলোডগুলির সাথে সার্ভার ডেটা লগ করার জন্য ব্যবহার করে যা একটি সেকেন্ডারি পেলোড ইনজেক্ট করার জন্য একাধিক ক্রিয়াকলাপ ট্রিগার করে৷ সেকেন্ডারি পেলোড প্রভাবিত সিস্টেমে দূরবর্তী কোড কার্যকর করার অনুমতি দেয়।
প্রাথমিকভাবে মাইনক্রাফ্ট সার্ভারে আবিষ্কৃত দুর্বলতা সনাক্তকরণের জন্য দায়ী গবেষকরা বিশ্বাস করেন যে অ্যাপাচি-ভিত্তিক লগিং পরিষেবার ব্যাপক ব্যবহারের কারণে কয়েক হাজার কোম্পানি এবং সিস্টেম ঝুঁকির মধ্যে থাকতে পারে। অ্যামাজন, অ্যাপল, ইলাস্টিক, স্টিম, টেনসেন্ট এবং টুইটার সহ বিশ্লেষকরা ইতিমধ্যে বেশ কয়েকটি বড় কোম্পানি এবং পরিষেবাগুলিকে দুর্বল হিসাবে চিহ্নিত করেছেন। ন্যাশনাল সিকিউরিটি এজেন্সি সাইবার সিকিউরিটি ডিরেক্টর রবার্ট জয়েসও নিশ্চিত করেছেন যে GHIDRA, এজেন্সির ওপেন সোর্স রিভার্স ইঞ্জিনিয়ারিং টুলও প্রভাবিত হয়েছে।
লুনাসেক নোট করে যে যে কেউ অ্যাপাচি স্ট্রুটস ফ্রেমওয়ার্ক ব্যবহার করে সম্ভবত দুর্বল। একটি পরবর্তী আপডেট বিবৃতিতে প্রসারিত হয়েছে, যা নির্দেশ করে যে 6u211, 7u201, 8u191, এবং 11.01-এর চেয়ে বড় JDK সংস্করণগুলি আক্রমণের LDAP-ভিত্তিক ভেক্টর দ্বারা প্রভাবিত হয় না। যাইহোক, এর অর্থ এই নয় যে পরবর্তী সংস্করণগুলি সম্পূর্ণরূপে অনাক্রম্য, কারণ বিকল্প অ্যাটাক ভেক্টরগুলি এখনও দূরবর্তী কোড সম্পাদন শুরু করার জন্য Log4Shell দুর্বলতার সুবিধা নিতে নিযুক্ত হতে পারে।
লুনাসেকের অনুসন্ধান এবং ফলস্বরূপ সিভিই ক্ষতিগ্রস্থ সিস্টেমগুলিকে অস্থায়ী এবং স্থায়ী প্রশমনের পদক্ষেপগুলি প্রদান করে যাতে শোষণ তাদের সার্ভার এবং ক্রিয়াকলাপগুলিকে নেতিবাচকভাবে প্রভাবিত করে না। log4j পরিষেবার একটি আপডেট সংস্করণ, v2.15.0, শোষণের প্রতিকার করেছে এবং ডাউনলোডের জন্য উপলব্ধ করা হয়েছে৷ এই সময়ে তাদের log4j পরিষেবা আপগ্রেড করতে অক্ষম সংস্থাগুলির জন্য CVE-তে অস্থায়ী প্রশমনও দেওয়া হয়েছে৷
ছবির ক্রেডিট: মার্কাস স্পিসকে