এখন প্যাচ করুন: বিপজ্জনক Apache Struts 2 বাগ এর জন্য কার্যকলাপ মাউন্ট ব্যবহার করুন

এখন প্যাচ করুন: বিপজ্জনক Apache Struts 2 বাগ এর জন্য কার্যকলাপ মাউন্ট ব্যবহার করুন

সময় স্ট্যাম্প: 15 ডিসেম্বর, 2023 3:55 অপরাহ্ন
এখনই প্যাচ করুন: বিপজ্জনক Apache Struts 2 বাগ PlatoBlockchain ডেটা ইন্টেলিজেন্সের জন্য কার্যকলাপ মাউন্ট ব্যবহার করুন। উল্লম্ব অনুসন্ধান. আ.

Apache Struts 2-এ একটি সমালোচনামূলক, সম্প্রতি প্রকাশিত রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা নিয়ে উদ্বেগ বেশি যা আক্রমণকারীরা গত কয়েকদিন ধরে সক্রিয়ভাবে শোষণ করছে।

Apache Struts হল জাভা অ্যাপ্লিকেশন তৈরির জন্য একটি বহুল ব্যবহৃত ওপেন সোর্স ফ্রেমওয়ার্ক। মডেল-ভিউ-কন্ট্রোলার (MVC) আর্কিটেকচার নামে পরিচিত তার উপর ভিত্তি করে বিকাশকারীরা মডুলার ওয়েব অ্যাপ্লিকেশন তৈরি করতে এটি ব্যবহার করতে পারে। অ্যাপাচি সফটওয়্যার ফাউন্ডেশন (এএসএফ) বাগ প্রকাশ 7 ডিসেম্বর এবং CVSS স্কেলে এটিকে 9.8-এর মধ্যে 10-এর কাছাকাছি সর্বোচ্চ তীব্রতা রেটিং দিয়েছে। দুর্বলতা, হিসাবে ট্র্যাক জন্য CVE-2023-50164 কিভাবে Struts ফাইল আপলোডের পরামিতি পরিচালনা করে এবং আক্রমণকারীদের প্রভাবিত সিস্টেমের সম্পূর্ণ নিয়ন্ত্রণ লাভ করার উপায় দেয় তার সাথে সম্পর্কযুক্ত।

জাভা অ্যাপসকে প্রভাবিত করে একটি ব্যাপকভাবে প্রচলিত নিরাপত্তা সমস্যা

ত্রুটিটি তার ব্যাপকতার কারণে যথেষ্ট উদ্বেগ জাগিয়েছে, সত্য যে এটি দূরবর্তীভাবে কার্যকর করা যায়, এবং এর জন্য প্রমাণ-অফ-ধারণা শোষণ কোড সর্বজনীনভাবে উপলব্ধ। গত সপ্তাহে ত্রুটি প্রকাশের পর থেকে, একাধিক বিক্রেতা - এবং সত্তা যেমন শ্যাডো সার্ভার — ত্রুটি লক্ষ্য করে শোষণ কার্যকলাপের লক্ষণ দেখে রিপোর্ট করেছে৷

ASF নিজেই Apache Struts-কে "বিশাল ব্যবহারকারী বেস" হিসাবে বর্ণনা করেছে কারণ এটি প্রায় দুই দশকেরও বেশি সময় ধরে রয়েছে। নিরাপত্তা বিশেষজ্ঞরা অনুমান করেন যে বিশ্বব্যাপী হাজার হাজার অ্যাপ্লিকেশন রয়েছে - যার মধ্যে রয়েছে অনেকগুলি ফরচুন 500 কোম্পানি এবং সরকারী এবং সমালোচনামূলক অবকাঠামো খাতে সংস্থাগুলিতে ব্যবহৃত - যেগুলি Apache Struts-এর উপর ভিত্তি করে৷  

অনেক বিক্রেতা প্রযুক্তি Apache Struts 2ও অন্তর্ভুক্ত করে। সিসকো, উদাহরণস্বরূপ, হয় বর্তমানে তদন্ত করছে সমস্ত পণ্য যা সম্ভবত বাগ দ্বারা প্রভাবিত হয় এবং প্রয়োজনে অতিরিক্ত তথ্য এবং আপডেট প্রকাশ করার পরিকল্পনা করে। যে পণ্যগুলি যাচাই-বাছাইয়ের অধীনে রয়েছে সেগুলির মধ্যে রয়েছে Cisco-এর নেটওয়ার্ক ম্যানেজমেন্ট এবং প্রভিশনিং প্রযুক্তি, ভয়েস এবং ইউনিফাইড যোগাযোগ পণ্য এবং এর গ্রাহক সহযোগিতা প্ল্যাটফর্ম।

দুর্বলতা Struts সংস্করণ 2.5.0 থেকে 2.5.32 এবং Struts সংস্করণ 6.0.0 থেকে 6.3.0 প্রভাবিত করে৷ বাগটি Struts সংস্করণ 2.0.0 থেকে Struts 2.3.37-এও উপস্থিত রয়েছে, যা এখন জীবনের শেষ।

ASF, নিরাপত্তা বিক্রেতা এবং সত্তা যেমন ইউএস সাইবার সিকিউরিটি এবং ইনফরমেশন সিকিউরিটি এজেন্সি (CISA) সুপারিশ করেছে যে সফ্টওয়্যার ব্যবহারকারী সংস্থাগুলি অবিলম্বে Struts সংস্করণ 2.5.33 বা Struts 6.3.0.2 বা তার বেশি সংস্করণে আপডেট করে৷ ASF অনুযায়ী, দুর্বলতার জন্য কোন প্রশমন উপলব্ধ নেই।

সাম্প্রতিক বছরগুলিতে, গবেষকরা স্ট্রুটে অসংখ্য ত্রুটি খুঁজে পেয়েছেন। সহজে তাদের মধ্যে সবচেয়ে উল্লেখযোগ্য ছিল জন্য CVE-2017-5638 2017 সালে, যা হাজার হাজার প্রতিষ্ঠানকে প্রভাবিত করেছে এবং ইকুইফ্যাক্সে একটি লঙ্ঘন সক্ষম করেছে যা বিস্ময়কর 143 মিলিয়ন মার্কিন গ্রাহকদের সংবেদনশীল ডেটা প্রকাশ করেছে। সেই বাগটি আসলে এখনও ঘুরে বেড়াচ্ছে — এইমাত্র-আবিষ্কৃত ব্যবহার করে প্রচারণা এনকেএ ব্লকচেইন ম্যালওয়্যার ব্যবহার করে, উদাহরণস্বরূপ, প্রাথমিক অ্যাক্সেসের জন্য এটি শোষণ করছে।

একটি বিপজ্জনক Apache Struts 2 বাগ, কিন্তু শোষণ করা কঠিন

ট্রেন্ড মাইক্রোর গবেষকরা যারা এই সপ্তাহে নতুন অ্যাপাচি স্ট্রটস দুর্বলতা বিশ্লেষণ করেছেন এটি একটি বিপজ্জনক কিন্তু যথেষ্ট কঠিন হিসাবে বর্ণনা করেছেন 2017 বাগ থেকে স্কেলে শোষণ করা, যা একটি স্ক্যান এবং শোষণ সমস্যা থেকে সামান্য বেশি ছিল।  

ট্রেন্ড মাইক্রো গবেষকরা বলেছেন, "CVE-2023-50164 দুর্বলতাকে বিস্তৃত হুমকি অভিনেতাদের দ্বারা ব্যাপকভাবে শোষণ করা হচ্ছে যারা দূষিত ক্রিয়াকলাপগুলি সম্পাদন করার জন্য এই দুর্বলতার অপব্যবহার করে, এটি বিশ্বব্যাপী সংস্থাগুলির জন্য একটি গুরুত্বপূর্ণ নিরাপত্তা ঝুঁকি তৈরি করে," ট্রেন্ড মাইক্রো গবেষকরা বলেছেন৷

ত্রুটিটি মূলত একটি প্রতিপক্ষকে পাথ ট্রাভার্সাল সক্ষম করার জন্য ফাইল আপলোড প্যারামিটারগুলিকে ম্যানিপুলেট করার অনুমতি দেয়: "এটি সম্ভাব্যভাবে একটি দূষিত ফাইল আপলোড করতে পারে, রিমোট কোড এক্সিকিউশন সক্ষম করে," তারা উল্লেখ করেছে।

ত্রুটিটি কাজে লাগাতে, একজন আক্রমণকারীকে প্রথমে একটি দুর্বল অ্যাপাচি স্ট্রুটস সংস্করণ ব্যবহার করে ওয়েবসাইট বা ওয়েব অ্যাপ্লিকেশনগুলির জন্য স্ক্যান এবং সনাক্ত করতে হবে, আকামই একটিতে বলেছেন রিপোর্টটি হুমকির তার বিশ্লেষণের সারসংক্ষেপ এই সপ্তাহ. তারপরে তাদের দুর্বল সাইট বা ওয়েব অ্যাপে একটি ফাইল আপলোড করার জন্য একটি বিশেষভাবে তৈরি করা অনুরোধ পাঠাতে হবে। অনুরোধে লুকানো কমান্ড থাকবে যা দুর্বল সিস্টেম ফাইলটিকে এমন একটি অবস্থান বা ডিরেক্টরিতে স্থাপন করতে পারে যেখান থেকে আক্রমণ এটি অ্যাক্সেস করতে পারে এবং প্রভাবিত সিস্টেমে দূষিত কোড কার্যকর করতে ট্রিগার করে।

"দূষিত মাল্টিপার্ট ফাইল আপলোড সক্ষম করার জন্য ওয়েব অ্যাপ্লিকেশনটিতে অবশ্যই কিছু পদক্ষেপ প্রয়োগ করতে হবে, "আকামাই-এর সিনিয়র নিরাপত্তা গবেষক স্যাম টিঙ্কলেনবার্গ বলেছেন। "এটি ডিফল্টরূপে সক্ষম কিনা তা Struts 2 এর বাস্তবায়নের উপর নির্ভর করে। আমরা যা দেখেছি তার উপর ভিত্তি করে, এটি সম্ভবত ডিফল্টরূপে সক্ষম করা কিছু নয়।"

CVE-2023-50164-এর জন্য দুটি PoC Exploit ভেরিয়েন্ট

আকামাই বলেছেন যে এটি এখনও পর্যন্ত সর্বজনীনভাবে প্রকাশিত PoC ব্যবহার করে CVE-2023-50164 লক্ষ্যবস্তু আক্রমণ এবং মূল PoC-এর একটি বৈকল্পিক বলে মনে হয় তা ব্যবহার করে আক্রমণ কার্যকলাপের আরেকটি সেট দেখেছে।

টিঙ্কলেনবার্গ বলেছেন, "দুটি আক্রমণের মধ্যে শোষণের পদ্ধতি একই"। "তবে, যে আইটেমগুলির মধ্যে পার্থক্য রয়েছে তা হল শোষণের প্রচেষ্টায় ব্যবহৃত শেষ পয়েন্ট এবং প্যারামিটার।"

টিঙ্কলেনবার্গ যোগ করেছেন, সফলভাবে দুর্বলতাকে কাজে লাগানোর জন্য আক্রমণকারীর প্রয়োজনীয়তা বাস্তবায়নের মাধ্যমে উল্লেখযোগ্যভাবে পরিবর্তিত হতে পারে। এর মধ্যে ফাইল আপলোড ফাংশন সক্ষম করার জন্য একটি দুর্বল অ্যাপের প্রয়োজন এবং এটির জন্য একটি অননুমোদিত ব্যবহারকারীকে ফাইল আপলোড করার অনুমতি দেওয়া অন্তর্ভুক্ত। যদি একটি দুর্বল অ্যাপ অননুমোদিত ব্যবহারকারী আপলোডের অনুমতি না দেয়, তাহলে আক্রমণকারীকে অন্য উপায়ে প্রমাণীকরণ এবং অনুমোদন পেতে হবে। আক্রমণকারীকে দুর্বল ফাইল আপলোড ফাংশন ব্যবহার করে শেষ পয়েন্ট সনাক্ত করতে হবে, তিনি বলেছেন।

যদিও Apache Struts-এ এই দুর্বলতা আগের ত্রুটিগুলির তুলনায় একটি বৃহৎ পরিসরে সহজে শোষণযোগ্য নাও হতে পারে, তবে এই ধরনের ব্যাপকভাবে গৃহীত কাঠামোতে এর উপস্থিতি অবশ্যই গুরুত্বপূর্ণ নিরাপত্তা উদ্বেগ উত্থাপন করে, কোয়ালিসের দুর্বলতা এবং হুমকি গবেষণার ব্যবস্থাপক সাঈদ আব্বাসি বলেছেন।

"এই বিশেষ দুর্বলতা তার জটিলতা এবং শোষণের জন্য প্রয়োজনীয় নির্দিষ্ট শর্তগুলির কারণে দাঁড়িয়েছে, যা ব্যাপক আক্রমণকে কঠিন কিন্তু সম্ভব করে তোলে," তিনি নোট করেন। "বিভিন্ন সমালোচনামূলক সিস্টেমে অ্যাপাচি স্ট্রুটের ব্যাপক সংহতকরণের কারণে, লক্ষ্যবস্তু আক্রমণের সম্ভাবনাকে অবমূল্যায়ন করা যায় না।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া