साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) के अधिकारियों ने सोमवार को कहा कि लॉग4जे लॉगिंग फ्रेमवर्क में एक महत्वपूर्ण रिमोट कोड निष्पादन भेद्यता के समाचार टूटने के एक महीने में, अमेरिका में दोष से कोई बड़ी घुसपैठ नहीं हुई है।

हालांकि, उन्होंने इसके प्रसार के कारण बाद में दोष का फायदा उठाने वाले हमलावरों की संभावना के बारे में चेतावनी दी – सैकड़ों लाखों उपकरणों और घटकों में भेद्यता है – और आसानी से इसका फायदा उठाया जा सकता है।

CISA के निदेशक जेन ईस्टरली ने आज सुबह एक वर्चुअल प्रेस कॉन्फ्रेंस में कहा, “हम उम्मीद करते हैं कि Log4j का भविष्य में अच्छी तरह से घुसपैठ में इस्तेमाल किया जाएगा।” “हम चिंतित हैं कि खतरे वाले अभिनेता इस भेद्यता का लाभ उठाने जा रहे हैं,” विशेष रूप से महत्वपूर्ण बुनियादी ढांचे के लक्ष्यों के खिलाफ, ईस्टरली ने कहा।

पिछले एक महीने में, अपाचे फाउंडेशन ने log4j में तीन अलग-अलग कमजोरियों का खुलासा किया है – एक लॉगिंग टूल जो लगभग सभी जावा एप्लिकेशन वातावरण में मौजूद है। तीन खामियों में से, सुरक्षा विशेषज्ञ उस पर विचार करते हैं, जिसका फाउंडेशन ने पहले खुलासा किया था (सीवीई-2021-44228) अब तक का सबसे बड़ा खतरा है।

पूर्व में दोष का वर्णन किया गया था – जिसे अब Log4Shell के रूप में संदर्भित किया जाता है – जो कि उसने अपने करियर में सबसे खराब स्थिति में सामना किया था और एक ऐसा कि हमलावर केवल 12 वर्णों को एक कमजोर प्रणाली में भेजकर शोषण कर सकते थे। एक बार शोषण दोष हमलावरों को समझौता किए गए सिस्टम पर गहरी पहुंच हासिल करने का एक तरीका देता है, उसने कहा। उन्होंने कहा कि अब तक करीब 2,800 उत्पादों को असुरक्षित माना गया है।

ईस्टरली और सीआईएसए में साइबर सुरक्षा के कार्यकारी सहायक निदेशक एरिक गोल्डस्टीन ने कहा कि जब से पहली बार भेद्यता की खबरें सामने आईं, सीआईएसए यह सुनिश्चित करने के लिए काम कर रही थी कि संघीय नागरिक एजेंसियां ​​लॉग4शेल दोष को सर्वोच्च प्राथमिकता दें। CISA, NSA, FBI और प्रौद्योगिकी कंपनियों सहित अन्य के साथ, संघीय एजेंसियों और निजी संगठनों दोनों के लिए भेद्यता पर मार्गदर्शन प्रदान करने के लिए ओवरटाइम काम कर रहा है।

17 दिसंबर को, एजेंसी जोड़ा गया ज्ञात और सक्रिय रूप से शोषित दोषों की सूची के प्रति संवेदनशीलता। सीआईएसए ने संघीय एजेंसियों को 23 दिसंबर तक इंटरनेट का सामना करने वाली संपत्तियों में दोष की पहचान करने और या तो इसे पैच करने के लिए, खतरे को बेअसर करने या कमजोर संपत्ति को हटाने के लिए विशिष्ट शमन लागू करने के लिए दिया। एजेंसियों के पास सीआईएसए को उन सभी अनुप्रयोगों की सूची प्रदान करने के लिए 28 दिसंबर तक का समय था, जिन्हें उन्होंने असुरक्षित के रूप में पहचाना, उन अनुप्रयोगों के विक्रेता और इस मुद्दे को हल करने के लिए एजेंसी द्वारा की गई कार्रवाई।

सीआईएसए के दो अधिकारियों ने कहा कि सरकार के भीतर और अन्य जगहों पर व्यापक पैचिंग और शमन प्रयास संभवत: एक कारण है कि अमेरिका में अब तक लॉग 4 जे से संबंधित समझौते की कोई बड़ी घटना नहीं हुई है। लेकिन यह भी संभावना है कि हमलावरों ने पहले ही कई प्रणालियों से समझौता कर लिया है और हड़ताल के लिए सही समय की प्रतीक्षा कर रहे हैं, उन्होंने नोट किया।

इस बीच, गाइडपॉइंट सिक्योरिटी में संघीय सेवाओं के उपाध्यक्ष मैट केलर का कहना है कि उनके संगठन की संघीय एजेंसियों के साथ बातचीत से पता चलता है कि उनमें से कुछ हैं पैच करने के लिए संघर्ष Log4Shell दोष क्योंकि उनके पास अपने वातावरण में एंड-ऑफ़-लाइफ या एंड-ऑफ़-सपोर्ट सिस्टम हैं।

“जब कोई सिस्टम या सॉफ़्टवेयर जीवन का अंत / समर्थन का अंत होता है, तो आमतौर पर सॉफ़्टवेयर को डिज़ाइन और लिखने वाली कंपनी विकास टीम को अन्य परियोजनाओं पर ले जाती है,” केलर कहते हैं। नतीजतन, पैच हमेशा इन उत्पादों में मौजूद बग के लिए उपलब्ध नहीं हो सकते हैं, वे कहते हैं। “एक पैच उपलब्ध होने पर सिस्टम को पैच किया जा सकता है। कभी-कभी विक्रेता इस तरह के कुछ के लिए एक महत्वपूर्ण पैच के लिए एक पैच जारी करेंगे, लेकिन उन्हें इसकी आवश्यकता नहीं है,” वे कहते हैं।

कुछ एजेंसियां ​​जो जोखिम वाले सिस्टम को इंगित करने के लिए संघर्ष कर रही हैं

केलर के अनुसार, कुछ एजेंसियों को कमजोर प्रणालियों को खोजने में भी परेशानी हो रही है और उन्हें खोजने और खोजने के लिए कमांड लाइन स्क्रिप्ट का उपयोग कर रहे हैं। कुछ सिस्टमों पर कमांड स्क्रिप्ट चलाने पर एकवचन रूप से ध्यान केंद्रित किया जा सकता है जहां आपको प्रत्येक सिस्टम को व्यक्तिगत रूप से स्पर्श करना होगा और निष्कर्षों की समीक्षा करनी होगी,” केलर नोट करते हैं।

वे कहते हैं कि भेद्यता स्कैनिंग टूल का उपयोग करने की तुलना में प्रक्रिया धीमी है और इसके परिणामस्वरूप एजेंसियों के सिस्टम गायब हो सकते हैं, जिन्हें Log4j दोष के खिलाफ पैच या कम करने की आवश्यकता है, वे कहते हैं।

केलर का कहना है कि सरकारी एजेंसियों को निजी कंपनियों की तुलना में एंड-ऑफ-लाइफ/एंड-ऑफ-सपोर्ट सिस्टम के साथ समस्या होने की अधिक संभावना है क्योंकि सरकार में मौजूद आम तौर पर अधिक जटिल खरीद प्रक्रियाएं होती हैं। इसलिए, निजी संगठनों को लॉग4शेल दोष को ठीक करते समय एंड-ऑफ-लाइफ सिस्टम के मुद्दों में चलने की संभावना कम है, वे कहते हैं।

एनटीटी एप्लीकेशन सिक्योरिटी के फेलो रे केली कहते हैं, “जीवन के अंत के उत्पाद को पैच करना कभी-कभी किसी के विचार से अधिक शामिल हो सकता है।” “उदाहरण के लिए, यदि पैच किए जा रहे घटकों में एक अलग प्रोग्रामिंग इंटरफ़ेस है, तो इसके लिए महत्वपूर्ण कोड परिवर्तन और एप्लिकेशन के लिए क्यूए प्रयास की आवश्यकता हो सकती है। [to be] तय, “वह कहते हैं।

नेटेनरिच के प्रमुख थ्रेट हंटर जॉन बम्बनेक कहते हैं, जीवन के अंत/समर्थन प्रणालियों की सुरक्षा के लिए संगठन जो सबसे अच्छा कर सकते हैं, वह है उनके चारों ओर नेटवर्क सुरक्षा की परतें लगाना।

“उन्हें अत्यधिक पृथक वीएलएएन पर मजबूत अभिगम नियंत्रण और उन खंडों पर मजबूत नेटवर्क विसंगति निगरानी के साथ रखें,” वे कहते हैं। उनका कहना है कि संगठनों को उन मशीनों को किसी भी इंटरनेट एक्सेस से रोकने पर भी विचार करना चाहिए।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here