Log4j کمزوری: یہ کیا ہے اور کیسے محفوظ رہیں؟

میں ایک بہت شدید خامی ہے۔ اپاچی لاگ 4 جے، بلایا لاگ 4 شیل، a کے ساتھ اب انٹرنیٹ پر سب سے زیادہ ہائی پروفائل سیکیورٹی کا خطرہ بن گیا ہے۔ 10/10 کی شدت کا سکور . Log4j ایپلی کیشنز میں غلطی کے پیغامات کو لاگ ان کرنے کے لیے ایک اوپن سورس جاوا لائبریری ہے، جو کہ بے شمار ٹیک فرموں کے ذریعے وسیع پیمانے پر استعمال ہوتی ہے۔

اس کے بعد سے، بڑی ٹیک کمپنیوں کی خدمات اس وقت پریشانی کا شکار ہیں جسے سیکیورٹی ماہرین حالیہ تاریخ کی سب سے اہم خامیوں میں سے ایک قرار دے رہے ہیں۔ یہ خامی ہیکرز کو کمپیوٹر سسٹم تک بے لگام رسائی کی اجازت دینے کے قابل ہے۔

مائیکروسافٹ کی حالیہ رپورٹ کے مطابق، حملہ آوروں کے کم از کم ایک درجن گروپ پہلے ہی سسٹم کی اسناد چرانے، پرون سسٹمز پر کرپٹو مائنر انسٹال کرنے، ڈیٹا چوری کرنے اور سمجھوتہ کیے گئے نیٹ ورکس کے اندر گہرائی تک کھودنے کے لیے خامی کا فائدہ اٹھانے کی کوشش کر رہے ہیں۔

یہ خامی اتنی شدید ہے کہ امریکی حکومت کی سائبرسیکیوریٹی ایجنسی نے تمام کمزور کمپنیوں کو فوری وارننگ جاری کی ہے، اور انہیں فوری طور پر موثر اقدامات کرنے کی تجویز دی ہے۔ اس زیرو-ڈے خطرے کے بارے میں سب کچھ تلاش کریں- Log4j تفصیل سے، اور آپ اس سے کیسے محفوظ رہ سکتے ہیں۔

اپ ڈیٹ : دوسرا Log4j خطرے کا پتہ چلا۔ پیچ جاری

منگل کو، Apache Log4j پر مشتمل ایک دوسری کمزوری دریافت ہوئی۔ یہ سائبرسیکیوریٹی کے ماہرین نے پہلے والے کو پیچ کرنے یا کم کرنے کے لیے دن گزارے تھے۔ اس خطرے کا سرکاری نام CVE 2021-45046 ہے۔

تفصیل میں کہا گیا ہے کہ Apache Log4j 2.15.0 میں CVE-2021-44228 کو ایڈریس کرنے کا فکس کچھ غیر ڈیفالٹ کنفیگریشنز میں نامکمل تھا۔ یہ حملہ آوروں کو اجازت دے سکتا ہے کہ وہ JNDI لوک اپ پیٹرن کا استعمال کرتے ہوئے بدنیتی پر مبنی ان پٹ ڈیٹا تیار کر سکے جس کے نتیجے میں سروس سے انکار (DOS) حملہ ہو جائے

بین الاقوامی سیکورٹی کمپنی ESET ایک نقشہ پیش کرتی ہے جس میں دکھایا گیا ہے کہ Log4j کا استحصال کہاں ہو رہا ہے۔

تصویری ماخذ: معاملہ

اچھی بات یہ ہے کہ اپاچی نے اس مسئلے کو حل کرنے اور حل کرنے کے لیے پہلے ہی ایک پیچ، Log4j 2.16.0 جاری کیا ہے۔ تازہ ترین پیچ پیغام کی تلاش کے نمونوں کے لیے سپورٹ کو ہٹا کر اور JNDI فعالیت کو بطور ڈیفالٹ غیر فعال کر کے مسئلے کو حل کرتا ہے۔

Log4j کمزوری کیا ہے؟

Log4j Vulnerability جسے Log4Shell بھی کہا جاتا ہے Logj4 Java لائبریری کا ایک مسئلہ ہے جو استحصال کرنے والوں کو صوابدیدی کوڈ کو کنٹرول کرنے اور اس پر عمل درآمد کرنے اور کمپیوٹر سسٹم تک رسائی حاصل کرنے کی اجازت دیتا ہے۔ اس کمزوری کا سرکاری نام ہے۔ CVE-2021-44228 .

Log4j ایک اوپن سورس جاوا لائبریری ہے، جسے اپاچی نے بنایا ہے، جو کسی ایپلیکیشن میں تمام سرگرمیوں کا ریکارڈ رکھنے کے لیے ذمہ دار ہے۔ سافٹ ویئر ڈویلپر اسے اپنی ایپلی کیشنز کے لیے بڑے پیمانے پر استعمال کرتے ہیں۔ لہذا، مائیکروسافٹ، ٹویٹر، اور ایپل جیسی بڑی ٹیک کمپنیاں بھی اس وقت حملوں کا شکار ہیں۔

Log4j خطرے کو کیسے دریافت یا پایا گیا؟

Log4Shell (Log4j) کی کمزوری سب سے پہلے LunaSec کے محققین نے Microsoft کی ملکیت Minecraft میں دریافت کی تھی۔ بعد میں، محققین نے محسوس کیا کہ یہ مائن کرافٹ کی خرابی نہیں ہے اور LunaSec نے خبردار کیا کہ Log4j کی ہر جگہ موجود ہونے کی وجہ سے بہت سی سروسز اس استحصال کا شکار ہیں۔

اس کے بعد سے، بہت سی رپورٹس آئی ہیں کہ اسے حالیہ دنوں میں سب سے سنگین خامیوں میں سے ایک قرار دیا گیا ہے، اور ایک ایسی خامی جو آنے والے برسوں تک انٹرنیٹ کو متاثر کرے گی۔

Log4j کمزوری کیا کر سکتی ہے؟

Log4j کمزوری ہیکرز/حملہ آوروں/استحصال کرنے والوں کو سسٹم تک مکمل رسائی فراہم کرنے کے قابل ہے۔ انہیں غیر محدود رسائی حاصل کرنے کے لیے محض ایک صوابدیدی کوڈ پر عمل درآمد کرنا پڑتا ہے۔ یہ خامی انہیں سرور کا مکمل کنٹرول حاصل کرنے کی اجازت بھی دے سکتی ہے جب وہ نظام کو درست طریقے سے جوڑتے ہیں۔

CVE (Common Vulnerabilities and Exposures) لائبریری میں خامی کی تکنیکی تعریف یہ بتاتی ہے کہ ایک حملہ آور جو لاگ پیغامات یا لاگ پیغام کے پیرامیٹرز کو کنٹرول کر سکتا ہے وہ LDAP سرورز سے لوڈ کردہ صوابدیدی کوڈ پر عمل درآمد کر سکتا ہے جب پیغام کی تلاش کا متبادل فعال ہو۔

لہذا، انٹرنیٹ ہائی الرٹ پر ہے کیونکہ استحصال کرنے والے مسلسل کمزور نظاموں کو نشانہ بنانے کی کوشش کر رہے ہیں۔

کون سے آلات اور ایپلیکیشنز Log4j کے خطرے سے دوچار ہیں؟

Log4j کی کمزوری کسی بھی شیطان کے لیے سنگین ہے جو Apache Log4J ورژن 2.0 سے 2.14.1 چلا رہا ہے اور اسے انٹرنیٹ تک رسائی حاصل ہے۔ NCSC کے مطابق، Apache Struts2، Solr، Druid، Flink، اور Swift فریم ورک میں پیار کے ورژن (Log4j ورژن 2 یا Log4j2) شامل ہیں۔

یہ ایپل کے iCloud، Microsoft کے Minecraft، Twitter، Steam، Tencent، Google، Amazon، CloudFare، NetEase، Webex، LinkedIn، وغیرہ جیسے ٹیک جنات کی خدمات سمیت بہت ساری خدمات رکھتا ہے۔

یہ خطرہ اتنا شدید کیوں ہے اور اس سے نمٹنا انتہائی مشکل ہے؟

یہ خطرہ اس قدر شدید ہے کہ ہیکرز Apache Log4j2 کا استعمال کرتے ہوئے سنجیدہ کمزور سسٹمز کا فائدہ اٹھانے کے لیے فی منٹ میں 100 بار سے زیادہ کوشش کر رہے ہیں۔ اس سے لاکھوں فرموں کو سائبر چوری کا خطرہ ہے۔

رپورٹس کے مطابق، صرف ہندوستان میں، اس خامی نے 41% کارپوریٹس کو ہیک کے خطرے میں ڈال دیا ہے۔ چیک پوائنٹ ریسرچ نے کہا ہے کہ اس نے خامی کا فائدہ اٹھاتے ہوئے 846,000 حملوں کا پتہ لگایا ہے۔

کرپٹوس لاجک جو کہ ایک سیکورٹی فرم ہے اس کا اعلان کیا ہے۔ اس نے انٹرنیٹ کو اسکین کرتے ہوئے 10,000 سے زیادہ مختلف IP پتے دریافت کیے ہیں، اور یہ LogShell کی جانچ کرنے والے سسٹمز کی تعداد سے 100 گنا زیادہ ہے۔ .

یہ کمزوری اس حقیقت کی وجہ سے بہت زیادہ ہے کہ اپاچی سب سے زیادہ استعمال ہونے والا ویب سرور ہے، اور Log4j جاوا لاگنگ کا سب سے مشہور پیکیج ہے۔ اس کے صرف اس کے GitHub ذخیرہ سے 400,000 سے زیادہ ڈاؤن لوڈز ہیں۔

Log4j کے خطرے سے کیسے محفوظ رہیں؟

تازہ ترین صارفین کے مطابق، Apache Log4j 2.15.0 اور اس سے اوپر کے ہر کسی کے لیے مسائل کو حل کر رہا ہے کیونکہ وہ ڈیفالٹ کے ذریعے رویے کو غیر فعال کر رہے ہیں۔ ماہرین مسلسل اس بات پر غور کرنے کی کوشش کر رہے ہیں کہ کس طرح اس خطرے کے خطرے کو کم سے کم کیا جائے اور سسٹمز کی حفاظت کی جائے۔ مائیکروسافٹ اور سسکو نے اس خامی کے لیے مشورے بھی شائع کیے ہیں۔

LunaSec نے اس کا ذکر کیا ہے۔ مائن کرافٹ نے پہلے ہی کہا ہے کہ صارفین کسی بھی مسئلے سے بچنے کے لیے گیم کو اپ ڈیٹ کر سکتے ہیں۔ دیگر اوپن سورس پروجیکٹس جیسے پیپر بھی مسئلے کو حل کرنے کے لیے پیچ جاری کر رہے ہیں۔ .

Cisco اور VMware نے اپنی متاثرہ مصنوعات کے لیے پیچ بھی جاری کیے ہیں۔ زیادہ تر بڑی ٹیکنالوجی کمپنیوں نے اب اس مسئلے کو عوامی سطح پر حل کیا ہے اور اپنے صارفین کے ساتھ ساتھ ملازمین کے لیے حفاظتی اقدامات کی پیشکش کی ہے۔ انہیں صرف ان پر سختی سے عمل کرنے کی ضرورت ہے۔

ماہرین Log4j کمزوری کے بارے میں کیا کہہ رہے ہیں؟

Log4j کی کمزوری نے ہفتے کے آخر میں سسٹم کے منتظمین اور سیکورٹی کے پیشہ ور افراد کو بوکھلا کر رکھ دیا ہے۔ Cisco اور Cloudflare نے اطلاع دی ہے کہ ہیکرز اس ماہ کے آغاز سے اس مسئلے کا فائدہ اٹھا رہے ہیں۔ تاہم جمعرات کو اپاچی کے انکشاف کے بعد تعداد میں زبردست اضافہ ہوا۔

عام طور پر، فرمیں نجی طور پر ایسی خامیوں سے نمٹتی ہیں۔ لیکن، اس خطرے کے اثرات کی حد اتنی وسیع تھی کہ کمپنیوں کو عوامی سطح پر اس کا ازالہ کرنا پڑا۔ یہاں تک کہ امریکی حکومت کے سائبر سیکیورٹی ونگ نے بھی ایک سنگین انتباہ جاری کیا۔

ہفتے کے روز، امریکی سائبر سیکیورٹی اور انفراسٹرکچر سیکیورٹی ایجنسی کے ڈائریکٹر جین ایسٹرلی نے کہا ہے کہ خطرے کو پہلے ہی 'خطرے والے اداکاروں کے بڑھتے ہوئے سیٹ' کے ذریعہ استعمال کیا جا رہا ہے، یہ خامی ایک سب سے سنگین ہے جسے میں نے اپنے پورے کیریئر میں دیکھا ہے، اگر سب سے زیادہ سنگین نہیں ہے۔

کرس فروہوف، ایک آزاد سیکورٹی محقق کا کہنا ہے کہ جو بات تقریباً یقینی ہے وہ یہ ہے کہ برسوں سے لوگ نئے کمزور سافٹ ویئر کی لمبی دم دریافت کر رہے ہوں گے کیونکہ وہ استحصال کے تار لگانے کے لیے نئی جگہوں کے بارے میں سوچتے ہیں۔ یہ ممکنہ طور پر ایک طویل عرصے سے حسب ضرورت انٹرپرائز ایپس کے جائزوں اور دخول ٹیسٹوں میں ظاہر ہوگا۔

ماہرین کا خیال ہے کہ اگرچہ خطرے کے آنے والے دیرپا اثرات سے آگاہ ہونا ضروری ہے، لیکن اولین ترجیح یہ ہونی چاہیے کہ نقصان کو کم کرنے کے لیے ابھی زیادہ سے زیادہ اقدامات کیے جائیں۔

چونکہ حملہ آور اب زیادہ سے زیادہ تخلیقی طریقے تلاش کریں گے اور زیادہ سے زیادہ سسٹمز کو دریافت کریں گے اور ان کا استحصال کریں گے، یہ خوفناک خامی آنے والے برسوں تک انٹرنیٹ پر تباہی کا باعث بنے گی۔