‘द इंटरनेट ऑन फायर’: एक सॉफ्टवेयर बग जो दुनिया भर की कंपनियों के लिए खतरा है


व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर टूल में एक महत्वपूर्ण भेद्यता – ऑनलाइन गेम माइनक्राफ्ट में तेजी से शोषित – दुनिया भर के संगठनों के लिए एक बड़े खतरे के रूप में तेजी से उभर रहा है।

“इंटरनेट अभी आग पर है,” साइबर सुरक्षा फर्म में खुफिया के वरिष्ठ उपाध्यक्ष एडम मेयर्स ने कहा क्राउडस्ट्राइक. “लोग पैच करने के लिए पांव मार रहे हैं,” उन्होंने कहा, “और सभी प्रकार के लोग इसका फायदा उठाने के लिए पांव मार रहे हैं।” उन्होंने शुक्रवार की सुबह कहा कि बग के अस्तित्व का खुलासा होने के 12 घंटों में यह “पूरी तरह से हथियारबंद” हो गया था, जिसका अर्थ है कि दोषियों ने इसका फायदा उठाने के लिए उपकरण विकसित और वितरित किए थे।

यह दोष वर्षों में खोजी गई सबसे खराब कंप्यूटर भेद्यता हो सकती है। यह एक ओपन-सोर्स लॉगिंग टूल में खुला था जो क्लाउड सर्वर और उद्योग और सरकार में उपयोग किए जाने वाले एंटरप्राइज़ सॉफ़्टवेयर में सर्वव्यापी है। जब तक इसे ठीक नहीं किया जाता है, यह अपराधियों, जासूसों और प्रोग्रामिंग नौसिखियों को समान रूप से आंतरिक नेटवर्क तक आसान पहुंच प्रदान करता है जहां वे मूल्यवान डेटा लूट सकते हैं, मैलवेयर लगा सकते हैं, महत्वपूर्ण जानकारी मिटा सकते हैं और बहुत कुछ कर सकते हैं।

मुख्य सुरक्षा अधिकारी जो सुलिवन ने कहा, “मुझे एक ऐसी कंपनी के बारे में सोचने में मुश्किल होगी जो जोखिम में नहीं है।” क्लाउडफ्लेयर, जिसका ऑनलाइन बुनियादी ढांचा वेबसाइटों को दुर्भावनापूर्ण अभिनेताओं से बचाता है। अनकहे लाखों सर्वरों ने इसे स्थापित किया है, और विशेषज्ञों ने कहा कि नतीजा कई दिनों तक ज्ञात नहीं होगा।

साइबर सुरक्षा फर्म टेनेबल के सीईओ अमित योरान ने इसे “पिछले दशक की सबसे बड़ी, सबसे महत्वपूर्ण भेद्यता” कहा – और संभवतः आधुनिक कंप्यूटिंग के इतिहास में सबसे बड़ी।

भेद्यता, जिसे ‘लॉग4शेल’ कहा जाता है, को अपाचे सॉफ्टवेयर फाउंडेशन के एक से 10 के पैमाने पर 10 का दर्जा दिया गया था, जो सॉफ्टवेयर के विकास की देखरेख करता है। शोषण वाला कोई भी व्यक्ति सॉफ्टवेयर का उपयोग करने वाले बिना पैच वाले कंप्यूटर तक पूर्ण पहुंच प्राप्त कर सकता है,

विशेषज्ञों ने कहा कि अत्यधिक आसानी से भेद्यता एक हमलावर को एक वेब सर्वर तक पहुंचने देती है – कोई पासवर्ड आवश्यक नहीं है – जो इसे इतना खतरनाक बनाता है।

न्यूज़ीलैंड की कंप्यूटर आपातकालीन प्रतिक्रिया टीम सबसे पहले रिपोर्ट करने वालों में से थी कि गुरुवार को सार्वजनिक रूप से रिपोर्ट किए जाने और एक पैच जारी होने के कुछ ही घंटों बाद दोष “जंगली में सक्रिय रूप से शोषण” किया जा रहा था।

वेबसाइटों और अन्य वेब सेवाओं को चलाने के लिए उपयोग किए जाने वाले ओपन-सोर्स अपाचे सॉफ्टवेयर में स्थित भेद्यता की सूचना 24 नवंबर को चीनी तकनीकी दिग्गज द्वारा फाउंडेशन को दी गई थी। अलीबाबा, यह कहा। एक फिक्स को विकसित करने और जारी करने में दो सप्ताह लग गए।

लेकिन दुनिया भर में पैचिंग सिस्टम एक जटिल काम हो सकता है। जबकि अधिकांश संगठन और क्लाउड प्रदाता जैसे वीरांगना अपने वेब सर्वर को आसानी से अपडेट करने में सक्षम होना चाहिए, वही अपाचे सॉफ्टवेयर भी अक्सर तीसरे पक्ष के कार्यक्रमों में एम्बेड किया जाता है, जिसे अक्सर केवल उनके मालिकों द्वारा ही अपडेट किया जा सकता है।

टेनेबल के योरन ने कहा कि संगठनों को यह मानने की जरूरत है कि उनके साथ समझौता किया गया है और जल्दी से कार्य करें।

दोष के शोषण के पहले स्पष्ट लक्षण दिखाई दिए Minecraft, एक ऑनलाइन गेम जो बच्चों के बीच बेहद लोकप्रिय है और जिसके मालिक हैं माइक्रोसॉफ्ट. मेयर्स और सुरक्षा विशेषज्ञ मार्कस हचिन्स ने कहा कि Minecraft उपयोगकर्ता पहले से ही चैट बॉक्स में एक छोटा संदेश चिपकाकर अन्य उपयोगकर्ताओं के कंप्यूटर पर प्रोग्राम निष्पादित करने के लिए इसका उपयोग कर रहे थे।

Microsoft ने कहा कि उसने Minecraft उपयोगकर्ताओं के लिए एक सॉफ़्टवेयर अपडेट जारी किया है। “ग्राहक जो फिक्स लागू करते हैं वे सुरक्षित हैं,” यह कहा।

शोधकर्ताओं ने इस बात के सबूत मिलने की सूचना दी कि कंपनियों द्वारा चलाए जा रहे सर्वरों में भेद्यता का फायदा उठाया जा सकता है: सेब, अमेज़न, ट्विटर, और क्लाउडफ्लेयर।

क्लाउडफ्लेयर के सुलिवन ने कहा कि हमें कोई संकेत नहीं है कि उनकी कंपनी के सर्वर से समझौता किया गया था। Apple, Amazon और Twitter ने टिप्पणी के अनुरोधों का तुरंत जवाब नहीं दिया।




Source link

Leave a Reply

Your email address will not be published.