নিরাপত্তাপ্রযুক্তি এবং আরও অনেক কিছুবিবিধ

গুরুতর শূন্য-দিন ঠিক করতে Log4J প্যাচের নিজস্ব দুর্বলতা রয়েছে যা ইতিমধ্যে সক্রিয়ভাবে শোষিত হয়েছে

9

ফেসপাম: Log4J শোষণগুলি যা গত সপ্তাহ ধরে সার্ভার প্রশাসকদের জর্জরিত করে চলেছে কারণ অনুপ্রবেশগুলিকে ব্লক করার জন্য জারি করা প্যাচটির নিজস্ব নিরাপত্তা ত্রুটি রয়েছে বলে মনে হচ্ছে৷ কিছু কোম্পানি যেগুলি ইতিমধ্যে Log4J 2.15.0 তে আপডেট করেছে তারা অন্তত দুটি নতুন দুর্বলতার মধ্যে একটি থেকে আক্রমণের শিকার হয়েছে৷

গত সপ্তাহে, নিরাপত্তা গবেষকরা ডেভেলপারদের জানিয়েছিলেন যে তারা Apache Struts ফ্রেমওয়ার্কে সক্রিয়ভাবে শোষিত শূন্য-দিনের দুর্বলতা আবিষ্কার করেছেন। ত্রুটিটি Log4J লগিং ইউটিলিটিতে ছিল। অ্যাপাচি ফাউন্ডেশন 2.15.0 সংস্করণ সহ একটি ফিক্স জারি করেছে এবং সপ্তাহান্তে সর্বজনীনভাবে দুর্বলতা প্রকাশ করেছে।

আপডেট জারি করার 72 ঘন্টার মধ্যে, ত্রুটির শোষণ আকাশচুম্বী হয়েছে, গবেষকরা প্রতি মিনিটে 100টি আক্রমণ এবং মোট প্রায় এক মিলিয়ন ঘটনা ট্র্যাক করেছেন৷ অ্যাপল, আমাজন, সিসকো এবং অন্যান্য সহ বড় সংস্থাগুলি গর্তটি প্যাচ করার জন্য ঝাঁকুনি দেয়।

সিস্টেমগুলি যত দ্রুত Log4J 2.15.0 ইনস্টল করছিল, নিরাপত্তা সংস্থাগুলি Praetorian এবং Cloudflare প্যাচ করা সিস্টেমগুলিতে সক্রিয় আক্রমণ দেখতে শুরু করে৷ গবেষকরা CVE-2021-45046 হিসাবে ট্র্যাক করা একটি নতুন দুর্বলতার অন্তত দুটি শোষণকে চিহ্নিত করেছেন।

মঙ্গলবার পাওয়া একটি দুর্বলতা, হ্যাকারদের "মেসেজ লুকআপ প্যাটার্ন" এবং "জেএনডিআই কার্যকারিতা" ম্যানিপুলেট করে DDoS আক্রমণ করতে দেয়। Apache এখন Log4J 2.16.0-এ ডিফল্টরূপে এগুলি নিষ্ক্রিয় করেছে।

তারপরে বুধবার, প্রাইটোরিয়ান বিশ্লেষকরা আরেকটি শোষণ খুঁজে পেয়েছেন যা হ্যাকারদের দুর্বল সার্ভার থেকে ডেটা বের করে দেওয়ার অনুমতি দেবে। প্রেটোরিয়ান Log4J 2.15.0 (উপরে) তে এক্সফিল্ট্রেশন প্রদর্শন করে একটি প্রুফ-অফ-কনসেপ্ট ভিডিও পোস্ট করেছে । আপডেট 2.16.0 এটিরও যত্ন নেয়।

"আমাদের গবেষণায়, আমরা দেখিয়েছি যে 2.15.0 এখনও কিছু নির্দিষ্ট পরিস্থিতিতে সংবেদনশীল ডেটা বের করার অনুমতি দিতে পারে," প্রেটোরিয়ান অবিলম্বে আপগ্রেড করার একটি সতর্কতায় উল্লেখ করেছে। "আমরা অ্যাপাচি ফাউন্ডেশনে সমস্যাটির প্রযুক্তিগত বিবরণ দিয়েছি, কিন্তু অন্তর্বর্তী সময়ে, আমরা দৃঢ়ভাবে সুপারিশ করছি যে গ্রাহকরা যত তাড়াতাড়ি সম্ভব 2.16.0-এ আপগ্রেড করুন।"

নিরাপত্তা সংস্থা ক্লাউডফ্লেয়ার বুধবার বলেছে যে এটি CVE-2021-45046 ট্র্যাক করছে এবং ইতিমধ্যেই ত্রুটিটিকে সক্রিয়ভাবে কাজে লাগাতে দেখেছে তবে আক্রমণগুলি DDoS, ডেটা এক্সফিল্ট্রেশন বা উভয়ই কিনা তা উল্লেখ করেনি। এটিও সিস্টেম অ্যাডমিনিস্ট্রেটরদের Log4J 2.16.0 ASAP-এ আপডেট করার সুপারিশ করে ৷

শিল্প কর্মীরা তাদের সিস্টেম আপডেট করার সময় উভয় সংস্থাই শোষণের প্রযুক্তিগত বিবরণ গোপন রাখছে।

রেকর্ডিং উত্স: www.techspot.com
তুমিও পছন্দ করতে পার আরো লেখকের কাছ থেকে

এই ওয়েবসাইট আপনার অভিজ্ঞতা উন্নত করতে কুকি ব্যবহার করে। আমরা ধরে নেব যে আপনি এটির সাথে ঠিক আছেন, তবে আপনি ইচ্ছা করলে অপ্ট-আউট করতে পারেন। আমি স্বীকার করছি আরো বিস্তারিত