Microsoft ने इस सप्ताह संगठनों को विभिन्न प्रकार के हमलों को अंजाम देने के लिए Apache Log4j लॉगिंग फ्रेमवर्क में हाल ही में खोजे गए रिमोट कोड निष्पादन (RCE) कमजोरियों के उपयोग का विस्तार करने के लिए खतरे वाले अभिनेताओं के लिए उच्च क्षमता के बारे में चेतावनी दी थी।

कंपनी ने कहा कि उसके सुरक्षा शोधकर्ताओं ने दिसंबर के आखिरी हफ्तों में बड़ी मात्रा में स्कैनिंग गतिविधि और खामियों को लक्षित करने के प्रयासों को देखा था।

राष्ट्र-राज्य अभिनेताओं और रैंसमवेयर समूहों सहित कई हमले समूहों ने अपने हमले किट में कमजोरियों के लिए कारनामों को जोड़ा है और उनका उपयोग रिवर्स शेल स्थापित करने, रिमोट एक्सेस टूलकिट छोड़ने और कमजोर सिस्टम पर हाथों से कीबोर्ड हमलों को अंजाम देने के लिए कर रहे हैं। पिछले दरवाजे और रिवर्स शेल जिन्हें माइक्रोसॉफ्ट ने लॉग4जे दोषों के माध्यम से तैनात किया जा रहा है, उनमें ब्लैडाबिंदी, हैबिट्सआरएटी, मीटरप्रेटर, कोबाल्ट स्ट्राइक और पावरशेल शामिल हैं।

माइक्रोसॉफ्ट के सुरक्षा समूह ने सोमवार को कहा, “इस समय, ग्राहकों को अपने पर्यावरण के लिए एक वास्तविक और वर्तमान खतरा होने के लिए शोषण कोड और स्कैनिंग क्षमताओं की व्यापक उपलब्धता माननी चाहिए।” ब्लॉग प्रविष्टि में अद्यतन करें कंपनी ने पहली बार 11 दिसंबर को पोस्ट किया था। “संगठनों को यह एहसास नहीं हो सकता है कि उनके वातावरण से पहले से ही समझौता किया जा सकता है।”

Apache Log4j एक व्यापक रूप से उपयोग किया जाने वाला ओपन सोर्स लॉगिंग घटक है जो लगभग हर उस वातावरण में मौजूद है जहां जावा ऐप का उपयोग किया जाता है। इसमें इंटरनेट-फेसिंग सर्वर, बैकएंड सिस्टम और नेटवर्क घटक, तृतीय-पक्ष एप्लिकेशन, सेवाएं जो उन अनुप्रयोगों का उपयोग करते हैं, क्लाउड वातावरण में और औद्योगिक नियंत्रण प्रणाली और SCADA सिस्टम में शामिल हैं।

9 दिसंबर को, अपाचे सॉफ्टवेयर फाउंडेशन ने एक महत्वपूर्ण आरसीई (सीवीई-2021-44228) घटक में भेद्यता जिसने हमलावरों को कमजोर प्रणालियों पर पूर्ण नियंत्रण हासिल करने का एक अपेक्षाकृत तुच्छ तरीका दिया। व्यापक स्कैनिंग गतिविधि और शोषण के प्रयासों के कारण संगठनों को अपने Log4j संस्करण को जल्दी से अपडेट करने की आवश्यकता के बारे में प्रकटीकरण ने सुरक्षा विशेषज्ञों से व्यापक चिंता और तत्काल चेतावनियों को प्रेरित किया। पहली खामी का खुलासा होने के एक हफ्ते से भी कम समय में, अपाचे फाउंडेशन ने Log4j में दूसरी खामी का खुलासा किया (सीवीई-2021-45046) और फिर कुछ दिनों बाद, एक तिहाई (सीवीई-2021-45105)

दोष का व्यापक प्रसार – और जिस आसानी से इसका शोषण किया जा सकता है – ने खतरे वाले अभिनेताओं की एक विस्तृत श्रृंखला के हित को आकर्षित किया है। पहले दोष का खुलासा होने के बाद के हफ्तों में, कई विक्रेताओं ने रैंसमवेयर ऑपरेटरों को देखने की सूचना दी है; क्रिप्टोक्यूरेंसी खनिक; ईरान, तुर्की और चीन सहित देशों के राष्ट्र-राज्य अभिनेता; और अन्य खामियों का फायदा उठाने का प्रयास कर रहे हैं।

उन्नत लगातार खतरे (APT) अभिनेताओं को खामियों का फायदा उठाते हुए देखा गया है, जिसमें चीन स्थित हेफ़नियम समूह शामिल है जो पिछले साल एक्सचेंज सर्वर की खामियों के तथाकथित प्रॉक्सीलॉगन सेट के खिलाफ शून्य-दिन के हमलों को अंजाम देने के लिए जिम्मेदार था। Log4j दोषों का शोषण करने वाले अन्य APT अभिनेताओं में फॉस्फोरस, एक ईरानी रैंसमवेयर ऑपरेटर और एक्वाटिक पांडा, एक चीन-आधारित अभिनेता शामिल हैं, जो क्राउडस्ट्राइक विफल पहली खामी का खुलासा होने के कुछ दिनों बाद एक बड़े शैक्षणिक संगठन पर लक्षित हमले के बीच में।

क्राउडस्ट्राइक के फाल्कन ओवरवॉच थ्रेट-हंटिंग सर्विस के वाइस प्रेसिडेंट परम सिंह कहते हैं कि उस हमले में, क्राउडस्ट्राइक के शोधकर्ताओं ने देखा, थ्रेट एक्टर ने पीड़ित संगठन के विंडोज होस्ट पर लिनक्स कमांड को निष्पादित करने का प्रयास किया। जब लिनक्स कमांड को निष्पादित करने के प्रयास विफल हो गए, तो खतरा अभिनेता जल्दी से विंडोज देशी सेवाओं या तथाकथित लिविंग-ऑफ-द-लैंड बायनेरिज़ (LOLBins) का उपयोग करने के लिए स्थानांतरित हो गया।

सिंह का कहना है कि यह व्यवहार ओवरवॉच खतरे के शिकारियों के लिए खड़ा था। “त्वरित पैंतरेबाज़ी और रणनीति में बदलाव, लिनक्स कमांड से विंडोज LOLBins का लाभ उठाने के लिए इस्तेमाल किया जाने वाला खतरा एक अवसरवादी स्क्रिप्टेड हमले के बजाय इंटरैक्टिव हैंड्स-ऑन-कीबोर्ड गतिविधि का संकेत है।”

व्यापक स्कैनिंग गतिविधि जारी है
Microsoft के अनुसार, अब तक देखे गए अधिकांश हमले ट्रैफ़िक के लिए स्कैनिंग गतिविधि खाते हैं। ऐसा प्रतीत होता है कि बहुत सी गतिविधियां सुरक्षा शोधकर्ताओं और लाल टीमों द्वारा अपने नेटवर्क में खामियों का शिकार करने की हैं। लेकिन खामियों के लिए स्कैनिंग करने वालों में मिराई जैसे बॉटनेट के संचालक, क्रिप्टोक्यूरेंसी माइनर्स को तैनात करने के लिए कमजोर इलास्टिक्सर्च सिस्टम को लक्षित करने वाले और लिनक्स सिस्टम पर सुनामी बैकडोर को तैनात करने की तलाश करने वाले हमलावर शामिल हैं।

इनमें से कई अभियानों में, हमलावर कमजोर विंडोज सिस्टम और लिनक्स सिस्टम दोनों के लिए समवर्ती स्कैन चला रहे हैं। माइक्रोसॉफ्ट ने कहा कि हमलावर JDNI में शामिल बेस 64 कमांड का उपयोग कर रहे हैं: ldap: // लिनक्स सिस्टम पर बैश कमांड और विंडोज पर पावरशेल लॉन्च करने के लिए।

Microsoft और कई अन्य सुरक्षा विशेषज्ञों ने संगठनों से अपने वातावरण में Log4j कमजोरियों की पहचान करने के लिए स्कैनिंग टूल और स्क्रिप्ट को तैनात करने का आग्रह किया है। लेकिन जावा-पैकिंग के काम करने के तरीके के कारण, भेद्यता को अनुप्रयोगों के भीतर कई परतों में दफन किया जा सकता है और स्कैनर को आसानी से दिखाई नहीं देता है, सुरक्षा विशेषज्ञों ने कहा है।

रेजिलियन, उदाहरण के लिए, हाल ही में कई खुले स्रोत और वाणिज्यिक स्कैनिंग टूल का परीक्षण किया गया ताकि यह देखा जा सके कि वे जावा फ़ाइलों का पता लगाने में कितने प्रभावी होंगे जहां Log4j नेस्टेड और विभिन्न स्वरूपों में पैक किया गया था। जिन स्कैनिंग टूल का उसने परीक्षण किया उनमें Google, Palantir, Aqua Security, Mergebase और JFrog शामिल थे। अभ्यास से पता चला कि कुछ स्कैनर दूसरों की तुलना में बेहतर थे, लेकिन उनमें से एक भी सभी प्रारूपों में Log4j का पता लगाने में सक्षम नहीं था।

रेजिलियन के परीक्षण के बाद से, JFrog और Mergebase ने अपने उपकरणों को अपडेट किया है, Yotam Perkal कहते हैं, Rezilion में भेद्यता अनुसंधान प्रमुख।

“मर्जबेस ने PAR प्रारूप समर्थन जोड़ा, और JFrog ने PAR और ZIP समर्थन जोड़ा, साथ ही छायांकित JAR के लिए उनके समर्थन में सुधार किया,” उन्होंने नोट किया। “हालांकि एक सटीक अनुमान देना मुश्किल है, डेवलपर्स के बीच घोंसला बनाना / एम्बेड करना एक आम बात है और हम अधिकांश उत्पादन वातावरण में नेस्टेड जार देखते हैं, इसलिए ज्ञात उदाहरणों की संभावना अधिक है।”


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here