Log4j भेद्यता, या "लॉग4शेल,'' को अब तक की सबसे भयावह सॉफ़्टवेयर खामियों में से एक माना जाता है। अपाचे ने दिसंबर 2021 में खामी को ठीक कर लिया, फिर भी यह सुरक्षा टीमों के लिए चिंता का विषय बना हुआ है। वास्तव में, यह अभी भी बीच में है सुरक्षा कमजोरियों का सबसे अधिक फायदा उठाया गया.

Log4Shell कायम है क्योंकि Apache Log4j 2 सॉफ्टवेयर पैकेज इसे प्रभावित करता है जो दुनिया की सबसे व्यापक रूप से उपयोग की जाने वाली लॉगिंग लाइब्रेरी में से एक है। के अनुसार, Log4Shell के प्रत्येक उदाहरण को ढूंढने और ठीक करने में एक दशक लगने की उम्मीद है यूएस डिपार्टमेंट ऑफ़ होमलैंड सिक्योरिटी.

इस बीच, सुरक्षा टीमें अपने नेटवर्क में Log4Shell शमन और सुधार में तेजी लाने के लिए कुछ कदम उठा सकती हैं। 

Log4j कमजोरियों को समझना  

Log4Shell का पता लगाने और उसे पैच करने के तरीके पर विचार करने से पहले, भेद्यता की प्रकृति को समझना महत्वपूर्ण है।

लॉग4जे एक ओपन-सोर्स लॉगर है (अपाचे सॉफ्टवेयर फाउंडेशन द्वारा अनुरक्षित) जो एक प्रोग्राम में जानकारी और घटनाओं को रिकॉर्ड करता है। Log4j स्टैंडअलोन सॉफ़्टवेयर नहीं है बल्कि कोड का एक पैकेज है जिसे डेवलपर्स अपने जावा ऐप्स में प्लग कर सकते हैं। अपाचे लॉग4जे फ्रेमवर्क का उपयोग वेब पर कुछ सबसे बड़ी सेवाओं में किया जाता है, जिसमें अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) और सिस्को समाधान जैसे नेटवर्क इंफ्रास्ट्रक्चर से लेकर ट्विटर और माइनक्राफ्ट जैसे लोकप्रिय ऐप्स तक शामिल हैं।

Log4j के कुछ संस्करण-विशेष रूप से, Log4j 2.17.0 और उससे नीचे-गंभीर कमजोरियों से ग्रस्त हैं। इनमें से सबसे खतरनाक है लॉग4शेल (सीवीई-2021-44228; सीवीएसएस रेटिंग: 10), एक रिमोट कोड निष्पादन (आरसीई) शून्य दिन भेद्यता Log4j संस्करण 2.14.1 और इससे पहले के संस्करणों में पाया गया। 

Log4Shell इस बात का परिणाम है कि Log4j के कमजोर संस्करण जावा नेमिंग और डायरेक्ट्री इंटरफ़ेस (JNDI) को कैसे संभालते हैं, और API जावा ऐप्स बाहरी सर्वर पर होस्ट किए गए संसाधनों तक पहुंचने के लिए उपयोग करते हैं। लॉग4जे के माध्यम से दुर्भावनापूर्ण जेएनडीआई लुकअप कमांड भेजकर खतरे वाले अभिनेता कमजोर सिस्टम का लगभग पूरा नियंत्रण ले सकते हैं। ये कमांड ऐप को मनमाना कोड चलाने के लिए प्रेरित करते हैं जो लगभग कुछ भी कर सकता है: डेटा चोरी, इंस्टॉल करें Ransomware, उपकरणों को ऑफ़लाइन दस्तक दें, और भी बहुत कुछ।

Log4Shell हमले

एक विशिष्ट Log4Shell साइबर हमले का इस तरह काम करता है: 

1. एक हैकर लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल (एलडीएपी) या डोमेन नेम सिस्टम (डीएनएस) जैसे सामान्य प्रोटोकॉल का उपयोग करके एक सर्वर सेट करता है। 
2. हैकर सर्वर पर मैलवेयर या कुछ अन्य दुर्भावनापूर्ण पेलोड संग्रहीत करता है।
3. हैकर Log4j चलाने वाले ऐप को JNDI लुकअप भेजता है, ऐप को हैकर के सर्वर पर निर्देशित करता है। 
4. जेएनडीआई लुकअप ऐप को हैकर के सर्वर से कनेक्ट करने, दुर्भावनापूर्ण पेलोड डाउनलोड करने और दुर्भावनापूर्ण कोड निष्पादित करने का कारण बनता है। 

संबंधित Log4j कमजोरियाँ और उनका शोषण कैसे किया जाता है

जैसे ही अपाचे ने Log4Shell को पैच करने का काम किया, सुरक्षा शोधकर्ताओं ने Log4j के कुछ संस्करणों में कुछ संबंधित खामियों की पहचान की। इसमे शामिल है: 

• CVE-2021-45046 हैकर्स को उन सिस्टमों पर दुर्भावनापूर्ण जेएनडीआई लुकअप भेजने में सक्षम बनाता है जो कुछ गैर-डिफ़ॉल्ट सेटिंग्स का उपयोग करते हैं, भले ही उन सिस्टमों ने Log4Shell को ठीक कर दिया हो। Log4j संस्करण 2.15 और उससे नीचे में मौजूद है।  
• CVE-2021-45105 हैकर्स को लॉन्च करने में सक्षम बनाता है सेवा हमलों का इनकार Log4j पर दुर्भावनापूर्ण संदेश भेजकर। Log4j संस्करण 2.16 और उससे नीचे में मौजूद है। 
• CVE-2021-44832 एक दूरस्थ कोड निष्पादन भेद्यता है। यह दोष Log4Shell की तुलना में कम गंभीर है क्योंकि हैकर्स को इसका फायदा उठाने से पहले उन्नत अनुमतियाँ प्राप्त करने की आवश्यकता होती है। Log4j संस्करण 2.17 और उससे नीचे में मौजूद है।  

Log4j कमजोरियों का पता कैसे लगाएं   

किसी नेटवर्क में Log4j के प्रत्येक असुरक्षित उदाहरण को ढूंढना मुश्किल हो सकता है। Log4j एक अनुमान में दिखाई देता है लाखों ऐप्स, जिसका अर्थ है कि सुरक्षा टीमों के पास निरीक्षण करने के लिए बहुत सारी संपत्तियां हैं। 

इसके अलावा, Log4j अक्सर अप्रत्यक्ष निर्भरता के रूप में मौजूद होता है। इसका मतलब है कि यह किसी संपत्ति के स्रोत कोड में सीधे तौर पर शामिल नहीं है, लेकिन यह किसी सॉफ़्टवेयर पैकेज या एकीकरण की निर्भरता के रूप में प्रकट होता है जिस पर संपत्ति निर्भर करती है। गूगल रिपोर्ट सबसे कमजोर Log4j उदाहरण निर्भरता की श्रृंखला में एक स्तर से अधिक गहरे हैं, और कुछ नौ स्तर तक गहरे हैं।

जैसा कि कहा गया है, सुरक्षा दल सही रणनीति और उपकरणों के साथ Log4j कमजोरियों का पता लगा सकते हैं।  

किसकी तलाश है

4-बीटा2 से 2.0 तक Log9j 2.17 का प्रत्येक संस्करण Log4Shell या संबंधित दोष के प्रति संवेदनशील है। दूसरे शब्दों में कहें तो, सुरक्षा टीमों को 4 से पहले के Log2.17.1j के किसी भी संस्करण को ढूंढना और उसका पता लगाना होगा।

Log4Shell और उससे संबंधित खामियां केवल "Log4j-core" फ़ाइलों में मौजूद हैं, जो Log4j की मुख्य कार्यक्षमता प्रदान करती हैं। खामियाँ "Log4j-api" फ़ाइलों में मौजूद नहीं हैं, जो ऐप्स और Log4j लॉगर्स के बीच इंटरफ़ेस को नियंत्रित करती हैं।

Log4j कंपनी द्वारा नियंत्रित संपत्तियों, कंपनी द्वारा उपयोग की जाने वाली तृतीय-पक्ष संपत्तियों (उदाहरण के लिए, क्लाउड सेवाएं), और कंपनी नेटवर्क तक पहुंच वाले सेवा प्रदाताओं द्वारा उपयोग की जाने वाली संपत्तियों में दिखाई दे सकता है। जबकि Log4j के जावा-आधारित ऐप्स में प्रदर्शित होने की सबसे अधिक संभावना है, यह निर्भरता और एकीकरण के माध्यम से गैर-जावा ऐप्स में भी मौजूद हो सकता है।

जावा ऐप्स के भीतर, Log4j जैसी लाइब्रेरीज़ को अक्सर जावा आर्काइव फ़ाइलों या "JAR फ़ाइलों" में पैक किया जाता है। JAR फ़ाइलों में अन्य JAR फ़ाइलें हो सकती हैं, जिनमें बदले में उनकी अपनी JAR फ़ाइलें आदि शामिल हो सकती हैं। Log4j के सभी असुरक्षित संस्करणों को खोजने के लिए, सुरक्षा टीमों को केवल शीर्ष-स्तरीय फ़ाइलों का ही नहीं, बल्कि JAR फ़ाइलों के सभी स्तरों का निरीक्षण करना चाहिए।

इसे कैसे खोजें 

विशेषज्ञ Log4j कमजोरियों को खोजने के लिए तकनीकों के संयोजन का उपयोग करने की सलाह देते हैं।

मैन्युअल खोजें. सुरक्षा दल मैन्युअल रूप से Log4j खामियों की खोज कर सकते हैं। वे निर्भरता वृक्ष उत्पन्न करने के लिए अपाचे मावेन जैसे विकास उपकरण का उपयोग कर सकते हैं जो किसी ऐप में सभी निर्भरताओं को मैप करते हैं, या वे बाहरी का उपयोग कर सकते हैं खुफिया जानकारी प्रभावित परिसंपत्तियों की पहचान करना। उदाहरण के लिए, साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने Log4Shell से पीड़ित ज्ञात सॉफ़्टवेयर की एक सूची तैयार की। सूची उपलब्ध है गीथहब पर.

Linux, Microsoft Windows और macOS ऑपरेटिंग सिस्टम पर, सुरक्षा टीमें कमांड लाइन इंटरफ़ेस का उपयोग करके Log4j के उदाहरणों के लिए फ़ाइल निर्देशिका खोज सकती हैं।

भेद्यता स्कैनिंग उपकरण. Log4Shell की खोज के बाद, कुछ संगठनों ने Log4j कमजोरियों को खोजने के लिए डिज़ाइन किए गए निःशुल्क टूल जारी किए। उदाहरणों में शामिल पलान्टिर का लॉग4जे-स्निफर और CERT समन्वय केंद्र का स्कैनर, कई अन्य के बीच।

जबकि विशिष्ट स्कैनर अभी भी उपलब्ध हैं, कई मानक सुरक्षा समाधान भी उपलब्ध हैं भेद्यता स्कैनर, हमले की सतह प्रबंधन (एएसएम) प्लेटफॉर्म और समापन बिंदु का पता लगाने और प्रतिक्रिया (EDR) समाधान अब Log4j कमजोरियों का पता लगा सकते हैं।

क्योंकि Log4Shell निर्भरता श्रृंखलाओं में गहराई से छिप सकता है, सुरक्षा टीमें अधिक व्यावहारिक तरीकों के साथ स्वचालित स्कैन को पूरक कर सकती हैं, जैसे प्रवेश परीक्षण.

ख़तरे का शिकार. सीआईएसए के मुताबिक, हमलावरों को नेटवर्क में सेंध लगाने के लिए Log4Shell का उपयोग करने और फिर अपने ट्रैक को कवर करने के लिए समझौता की गई संपत्ति को पैच करने के लिए जाना जाता है। इस कारण से, यह अनुशंसा की जाती है कि सुरक्षा दल मान लें कि उल्लंघन पहले ही हो चुका है और सक्रिय रूप से शिकार करना Log4Shell शोषण के संकेतों के लिए।

साइबर सुरक्षा उपकरण जैसे सुरक्षा सूचना और इवेंट प्रबंधनटी (एसआईईएम) समाधान और विस्तारित खोज और प्रतिक्रिया (XDR) प्लेटफ़ॉर्म Log4Shell से जुड़ी असामान्य गतिविधि का पता लगाने में मदद कर सकते हैं, जैसे अजीब लॉग प्रविष्टियाँ या संदिग्ध ट्रैफ़िक पैटर्न। सुरक्षा टीमों को पूरी तरह से लॉन्च करना चाहिए घटना की प्रतिक्रिया और Log4Shell के किसी भी संभावित संकेत के लिए जांच प्रक्रियाएं, यह देखते हुए कि किसी हमले के परिणाम कितने गंभीर हो सकते हैं।

Log4j कमजोरियों को कैसे ठीक करें

Log4j कमजोरियों को संबोधित करते समय सुरक्षा टीमों के पास कुछ विकल्प होते हैं।

सबसे अच्छा मामला: कमजोर प्रणालियों को ठीक करना  

Log4Shell और संबंधित खामियों के पूर्ण निवारण के लिए, संगठनों को अपने नेटवर्क में Log4j के सभी उदाहरणों को नवीनतम संस्करण (या कम से कम संस्करण 2.17.1) में अपडेट करना होगा। Log4j के नवीनतम संस्करण उन कार्यों को हटा देते हैं जिनका हमलावर शोषण कर सकते हैं, और वे LDAP जैसे आमतौर पर दुरुपयोग किए जाने वाले प्रोटोकॉल के लिए समर्थन हटा देते हैं।

कोई एकल, सिस्टम-व्यापी पैच उपलब्ध नहीं है, और जावा को अपडेट करने से समस्या का समाधान नहीं होता है। सुरक्षा टीमों को प्रत्येक प्रभावित संपत्ति में Log4j के प्रत्येक इंस्टेंस को अपडेट करना होगा। 

अन्य शमन उपाय

सुरक्षा शोधकर्ता इससे सहमत हैं पैचिंग आदर्श समाधान है. यदि पैचिंग संभव नहीं है, तो संगठन हमले की संभावना को कम करने के लिए अन्य शमन कदमों का उपयोग कर सकते हैं।

असुरक्षित ऐप्स में संदेश लुकअप की अनुमति न देना। हमलावर कमजोर ऐप्स को दुर्भावनापूर्ण आदेश भेजने के लिए Log4j की एक सुविधा का उपयोग करते हैं जिसे "संदेश लुकअप प्रतिस्थापन" कहा जाता है। सुरक्षा टीमें "Log4j2.formatMsgNoLookups" सिस्टम प्रॉपर्टी को "सही" में बदलकर या "LOG4J_FORMAT_MSG_NO_LOOKUPS" पर्यावरण चर के मान को "सही" पर सेट करके इस फ़ंक्शन को मैन्युअल रूप से अस्वीकृत कर सकती हैं।  

हालाँकि संदेश लुकअप प्रतिस्थापन फ़ंक्शन को हटाने से हमलावरों के लिए हमला करना कठिन हो जाता है, लेकिन यह फुलप्रूफ नहीं है। दुर्भावनापूर्ण अभिनेता अभी भी गैर-डिफ़ॉल्ट सेटिंग्स वाले ऐप्स पर दुर्भावनापूर्ण JNDI लुकअप भेजने के लिए CVE-2021-45046 का उपयोग कर सकते हैं।

कमजोर ऐप्स से JNDIlookup क्लास को हटाना। Log4j में, JNDIlookup वर्ग नियंत्रित करता है कि लॉगर JNDI लुकअप को कैसे संभालता है। यदि इस वर्ग को Log4j की कक्षाओं की निर्देशिका से हटा दिया जाता है, तो JNDI लुकअप अब निष्पादित नहीं किया जा सकता है।

अपाचे ध्यान दें कि कमजोर ऐप्स से JNDIlookup क्लास को हटाने के लिए निम्नलिखित कमांड का उपयोग किया जा सकता है:   

zip -q -d Log4j-core-*.jar org/apache/logging/Log4j/core/lookup/JndiLookup.class

हालाँकि यह विधि संदेश लुकअप को अस्वीकार करने की तुलना में अधिक प्रभावी है, लेकिन यह हमलावरों को अन्य शोषण प्रयासों को बढ़ाने से नहीं रोकती है, जैसे पुनरावर्ती लुकअप के माध्यम से सेवा हमलों से इनकार करना।

संभावित Log4Shell आक्रमण ट्रैफ़िक को अवरुद्ध करना। सुरक्षा दल उपयोग कर सकते हैं वेब अनुप्रयोग फ़ायरवॉल (डब्ल्यूएएफ), घुसपैठ का पता लगाने और रोकथाम प्रणाली (आईडीपीएस), ईडीआर, और अन्य साइबर सुरक्षा उपकरण एलडीएपी या आरएमआई जैसे आमतौर पर उपयोग किए जाने वाले प्रोटोकॉल को अवरुद्ध करके हमलावर-नियंत्रित सर्वर से ट्रैफ़िक को रोकते हैं। सुरक्षा टीमें ब्लॉक भी कर सकती हैं हमलों से जुड़े आईपी पते या वे स्ट्रिंग जो हमलावर आमतौर पर दुर्भावनापूर्ण अनुरोधों में उपयोग करते हैं, जैसे "जेएनडीआई," "एलडीएपी" और "आरएमआई।"

हालाँकि, हमलावर नए प्रोटोकॉल और आईपी पते का उपयोग करके या दुर्भावनापूर्ण स्ट्रिंग्स को अस्पष्ट करके इन बचावों से बच सकते हैं।

प्रभावित परिसंपत्तियों को पृथक करना। यदि बाकी सब विफल हो जाता है, तो सुरक्षा दल पैच की प्रतीक्षा करते हुए प्रभावित संपत्तियों को अलग कर सकते हैं। ऐसा करने का एक तरीका कमजोर परिसंपत्तियों को एक अलग नेटवर्क खंड में रखना है जिसे सीधे इंटरनेट से नहीं पहुँचा जा सकता है। अतिरिक्त सुरक्षा के लिए इस नेटवर्क खंड के चारों ओर WAF लगाया जा सकता है।

Log4Shell को दूर रखना

Log4Shell को सुधारने के बारे में एक मुश्किल बात यह है कि यह हमेशा पैचेड नहीं रहता है। नवंबर 2022 में, टेनेबल ने रिपोर्ट किया लॉग29शेल के लिए अभी भी असुरक्षित 4% संपत्तियां "पुनरावृत्ति" थीं, जिसका अर्थ है कि उन्हें पैच कर दिया गया था, लेकिन दोष फिर से प्रकट हो गया। पुनरावृत्ति तब होती है जब डेवलपर्स गलती से उन सॉफ़्टवेयर लाइब्रेरीज़ का उपयोग करते हैं जिनमें ऐप्स बनाने या अपडेट करने के लिए Log4j के अनपैच्ड संस्करण होते हैं।

जबकि डेवलपर्स अपने द्वारा उपयोग किए जाने वाले फ्रेमवर्क की अधिक बारीकी से जांच कर सकते हैं, जब JAR फ़ाइलों में कई स्तर गहरे होते हैं, तो Log4j के कमजोर संस्करणों को छोड़ना आसान होता है।

औपचारिक कार्यान्वयन भेद्यता प्रबंधन और पैच प्रबंधन प्रोग्राम सुरक्षा टीमों को Log4j कमजोरियों की वापसी के लिए संपत्तियों की निगरानी करने का अधिक प्रभावी तरीका प्रदान कर सकते हैं। नियमित भेद्यता स्कैनिंग और प्रवेश परीक्षण नई कमजोरियों, लॉग4शेल या अन्यथा को तुरंत पकड़ने में मदद कर सकते हैं। पैच प्रबंधन यह सुनिश्चित करता है कि जैसे ही विक्रेता सुधार जारी करते हैं, नई कमजोरियाँ बंद हो जाती हैं।   

Log4Shell और अन्य शून्य-दिन की कमजोरियों से लड़ने में अधिक सहायता

तेजी से, हैकर्स लॉग4शेल जैसी शून्य-दिन की कमजोरियों का आसानी से फायदा उठाने के लिए स्वचालित टूल का उपयोग कर रहे हैं - और रैंसमवेयर हमलों और अन्य साइबर खतरों की श्रृंखला शुरू करने के लिए। पारंपरिक समापन बिंदु सुरक्षा दृष्टिकोण के साथ काम करने वाली सुरक्षा टीमों को सतर्क थकान, जटिल टूलींग और लंबी जांच का सामना करना पड़ता है - और इसे बनाए रखने के लिए संघर्ष करना पड़ता है।

IBM Security® QRadar® EDR, पूर्व में ReaQta, उपयोग में आसान बुद्धिमान स्वचालन के साथ वास्तविक समय में ज्ञात और अज्ञात समापन बिंदु खतरों को दूर करता है जिसके लिए बहुत कम मानवीय संपर्क की आवश्यकता होती है। QRadar EDR के साथ, विश्लेषक त्वरित, सूचित निर्णय ले सकते हैं और सबसे महत्वपूर्ण खतरों पर ध्यान केंद्रित करने के लिए स्वचालित अलर्ट प्रबंधन का उपयोग कर सकते हैं। उन्नत निरंतर सीखने वाली एआई क्षमताएं और एक उपयोगकर्ता के अनुकूल इंटरफेस सुरक्षा कर्मचारियों को नियंत्रण में रखता है और व्यवसाय की निरंतरता को सुरक्षित रखने में मदद करता है।

आईबीएम सिक्योरिटी क्यूराडार ईडीआर का अन्वेषण करें