तेल अवीव – 12 जनवरी, 2022 – क्लाउड-नेटिव एप्लिकेशन सुरक्षा परीक्षण समाधानों में एक प्रौद्योगिकी नवप्रवर्तनक ऑक्सआई ने आज ऑक्स4शेल की शुरुआत के साथ पहली 2022 ओपन-सोर्स पहल का अनावरण किया। डेवलपर्स, ऐपसेक पेशेवरों और ओपन-सोर्स समुदाय की सहायता के लिए ऑक्सी द्वारा विकसित किए जाने वाले समाधानों की एक श्रृंखला में शक्तिशाली और मुक्त ओपन-सोर्स पेलोड डिओफस्केशन टूल पहला है। Ox4Shell को “इंटरनेट का कोविड” कहे जाने वाले लोगों का सामना करने के लिए डिज़ाइन किया गया है, जिसे Log4Shell जीरो-डे भेद्यता के रूप में जाना जाता है। दुर्भावनापूर्ण अभिनेताओं द्वारा उपयोग की जाने वाली एक बहुत ही प्रभावी ओफ़्फ़ुसेशन रणनीति का मुकाबला करने के लिए, ऑक्सेय का नया ओपन-सोर्स टूल (गिटहब पर उपलब्ध) छिपे हुए पेलोड को उजागर करता है जो सक्रिय रूप से सुरक्षा सुरक्षा उपकरणों और सुरक्षा टीमों को भ्रमित करने के लिए उपयोग किया जा रहा है।

जैसा कि विशेषज्ञों द्वारा बताया गया है, वैश्विक स्तर पर संगठनों को दूरस्थ कोड हमलों और व्यापक लॉग4शेल भेद्यता के कारण संवेदनशील डेटा के जोखिम का अनुभव करना जारी है। अपाचे के Log4J में खोजा गया, वेब और सर्वर एप्लिकेशन डेवलपर्स द्वारा व्यापक उपयोग में एक लॉगिंग सिस्टम, खतरा लॉग संदेशों या लॉग संदेश पैरामीटर में टेक्स्ट को इंजेक्ट करना संभव बनाता है, फिर सर्वर लॉग में जो दुर्भावनापूर्ण उपयोग के लिए रिमोट सर्वर से कोड लोड कर सकता है . अपाचे ने Log4Shell को 10 में से 10 की सीवीएसएस गंभीरता रेटिंग दी है, जो उच्चतम संभव स्कोर है। तब से, शोधकर्ताओं ने लोकप्रिय H2 डेटाबेस में एक समान भेद्यता पाई। शोषण को अंजाम देना आसान है और अनुमान है कि इससे लाखों डिवाइस प्रभावित होंगे।

गार्टनर के वरिष्ठ निदेशक विश्लेषक जोनाथन केयर के अनुसार, “Log4j भेद्यता अत्यंत व्यापक है और उद्यम अनुप्रयोगों, एम्बेडेड सिस्टम और उनके उप-घटकों को प्रभावित कर सकती है। सिस्को वीबेक्स, माइनक्राफ्ट, और फाइलज़िला एफ़टीपी सहित जावा-आधारित एप्लिकेशन सभी प्रभावित कार्यक्रमों के उदाहरण हैं, लेकिन यह किसी भी तरह से एक विस्तृत सूची नहीं है। भेद्यता मंगल 2020 हेलीकॉप्टर मिशन, इनजेनिटी को भी प्रभावित करती है, जो इवेंट लॉगिंग के लिए Apache Log4j का उपयोग करता है। ”

2022 के लिए एक नई ओपन-सोर्स पहल के हिस्से के रूप में, ऑक्सेय अक्सर Log4J कारनामों के साथ युग्मित पेलोड को कम करके सुरक्षा प्रयासों को मजबूत करने के लिए डिज़ाइन किए गए योगदानों की एक श्रृंखला में पहला अनावरण कर रहा है। ऑक्स4शेल अस्पष्ट पेलोड को उजागर करता है और उन्हें अधिक सार्थक रूपों में बदल देता है ताकि यह स्पष्ट रूप से समझ सके कि अभिनेता क्या हासिल करने की कोशिश कर रहे हैं। यह संबंधित पक्षों को तत्काल कार्रवाई करने और भेद्यता को हल करने की अनुमति देता है।

Log4j लाइब्रेरी में कुछ अद्वितीय लुकअप फ़ंक्शन हैं जो उपयोगकर्ताओं को पर्यावरण चर, जावा प्रक्रिया रनटाइम जानकारी, और बहुत कुछ देखने की अनुमति देते हैं। ये खतरे वाले अभिनेताओं को विशिष्ट जानकारी की जांच करने में सक्षम बनाते हैं जो विशिष्ट रूप से एक समझौता मशीन की पहचान कर सकते हैं जिसे उन्होंने लक्षित किया है। Ox4Shell आपको ऐसे लुकअप फ़ंक्शंस का अनुपालन करने में सक्षम बनाता है, जिन्हें आप नियंत्रित करते हैं।

“Log4Shell भेद्यता के लिए आवश्यक पैचिंग को लागू करने में कठिनाइयों का मतलब है कि यह शोषण अभी और भविष्य में दुर्भावनापूर्ण हमलों के लिए अंतराल छोड़ देगा। पेलोड के लिए ओफ़्फ़ुसेशन तकनीकों को लागू करने की क्षमता, जिससे सुरक्षा उपायों को बायपास करने के लिए नियमों के तर्क को दरकिनार करना भी एक बड़ी चुनौती है, जब तक कि उचित उपाय लागू नहीं किया जाता है, “ऑक्सआई में अनुसंधान प्रमुख डैनियल एबेल्स ने कहा। हमलावरों के असली इरादे को समझने के लिए भ्रम की स्थिति महत्वपूर्ण होगी। ऑक्स4शेल इसे संबोधित करने के लिए एक शक्तिशाली समाधान प्रदान करता है और ओपन-सोर्स समुदाय के समर्थक के रूप में, हमें योगदान करने और इसे गिटहब के माध्यम से उपलब्ध कराने पर गर्व है।

उपलब्धता

ऑक्स4शेल आमतौर पर गिटहब पर बिना किसी शुल्क के उपलब्ध है। ऑक्सी डेवलपर्स और सुरक्षा पेशेवरों को आमंत्रित करता है जो यात्रा करने के लिए और अधिक सीखने में रुचि रखते हैं https://www.oxeye.io/ox4shell-deobfuscate-log4shell या सॉफ्टवेयर डाउनलोड करने के लिए https://github.com/ox-eye/Ox4Shell. पूर्ण ऑक्सआई क्लाउड नेटिव एप्लिकेशन सिक्योरिटी टेस्टिंग (सीएनएएसटी) प्लेटफॉर्म का व्यक्तिगत डेमो शेड्यूल करने के लिए, कृपया देखें https://www.oxeye.io/get-a-demo.

साधन:

– ऑक्सी को ट्विटर पर @OxeyeSecurity . पर फॉलो करें

– लिंक्डइन पर ऑक्सी से जुड़ें https://www.linkedin.com/company/oxeyeio/

– ऑक्सी पर ऑनलाइन जाएं http://www.oxeye.io

Oxeye के बारे में

ऑक्सी विशेष रूप से आधुनिक आर्किटेक्चर के लिए डिज़ाइन किया गया क्लाउड-नेटिव एप्लिकेशन सुरक्षा परीक्षण समाधान प्रदान करता है। कंपनी ग्राहकों को सॉफ्टवेयर विकास जीवनचक्र के एक अभिन्न अंग के रूप में सबसे महत्वपूर्ण कोड कमजोरियों की पहचान करने और उन्हें हल करने में सक्षम बनाती है, एक प्रासंगिक, सहज और व्यापक समाधान की पेशकश करके पारंपरिक एप्लिकेशन सुरक्षा परीक्षण (एएसटी) दृष्टिकोण को बाधित करती है जो सुनिश्चित करती है कि कोई भी कमजोर कोड कभी भी उत्पादन तक न पहुंचे। . देव और ऐपसेक टीमों के लिए निर्मित ऑक्सआई विकास चक्रों को तेज करते हुए, घर्षण को कम करने और जोखिमों को समाप्त करते हुए सुरक्षा को शिफ्ट-लेफ्ट करने में मदद करता है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here