Apache Struts 2-এ একটি সমালোচনামূলক, সম্প্রতি প্রকাশিত রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা নিয়ে উদ্বেগ বেশি যা আক্রমণকারীরা গত কয়েকদিন ধরে সক্রিয়ভাবে শোষণ করছে।
Apache Struts হল জাভা অ্যাপ্লিকেশন তৈরির জন্য একটি বহুল ব্যবহৃত ওপেন সোর্স ফ্রেমওয়ার্ক। মডেল-ভিউ-কন্ট্রোলার (MVC) আর্কিটেকচার নামে পরিচিত তার উপর ভিত্তি করে বিকাশকারীরা মডুলার ওয়েব অ্যাপ্লিকেশন তৈরি করতে এটি ব্যবহার করতে পারে। অ্যাপাচি সফটওয়্যার ফাউন্ডেশন (এএসএফ) বাগ প্রকাশ 7 ডিসেম্বর এবং CVSS স্কেলে এটিকে 9.8-এর মধ্যে 10-এর কাছাকাছি সর্বোচ্চ তীব্রতা রেটিং দিয়েছে। দুর্বলতা, হিসাবে ট্র্যাক জন্য CVE-2023-50164 কিভাবে Struts ফাইল আপলোডের পরামিতি পরিচালনা করে এবং আক্রমণকারীদের প্রভাবিত সিস্টেমের সম্পূর্ণ নিয়ন্ত্রণ লাভ করার উপায় দেয় তার সাথে সম্পর্কযুক্ত।
জাভা অ্যাপসকে প্রভাবিত করে একটি ব্যাপকভাবে প্রচলিত নিরাপত্তা সমস্যা
ত্রুটিটি তার ব্যাপকতার কারণে যথেষ্ট উদ্বেগ জাগিয়েছে, সত্য যে এটি দূরবর্তীভাবে কার্যকর করা যায়, এবং এর জন্য প্রমাণ-অফ-ধারণা শোষণ কোড সর্বজনীনভাবে উপলব্ধ। গত সপ্তাহে ত্রুটি প্রকাশের পর থেকে, একাধিক বিক্রেতা - এবং সত্তা যেমন শ্যাডো সার্ভার — ত্রুটি লক্ষ্য করে শোষণ কার্যকলাপের লক্ষণ দেখে রিপোর্ট করেছে৷
ASF নিজেই Apache Struts-কে "বিশাল ব্যবহারকারী বেস" হিসাবে বর্ণনা করেছে কারণ এটি প্রায় দুই দশকেরও বেশি সময় ধরে রয়েছে। নিরাপত্তা বিশেষজ্ঞরা অনুমান করেন যে বিশ্বব্যাপী হাজার হাজার অ্যাপ্লিকেশন রয়েছে - যার মধ্যে রয়েছে অনেকগুলি ফরচুন 500 কোম্পানি এবং সরকারী এবং সমালোচনামূলক অবকাঠামো খাতে সংস্থাগুলিতে ব্যবহৃত - যেগুলি Apache Struts-এর উপর ভিত্তি করে৷
অনেক বিক্রেতা প্রযুক্তি Apache Struts 2ও অন্তর্ভুক্ত করে। সিসকো, উদাহরণস্বরূপ, হয় বর্তমানে তদন্ত করছে সমস্ত পণ্য যা সম্ভবত বাগ দ্বারা প্রভাবিত হয় এবং প্রয়োজনে অতিরিক্ত তথ্য এবং আপডেট প্রকাশ করার পরিকল্পনা করে। যে পণ্যগুলি যাচাই-বাছাইয়ের অধীনে রয়েছে সেগুলির মধ্যে রয়েছে Cisco-এর নেটওয়ার্ক ম্যানেজমেন্ট এবং প্রভিশনিং প্রযুক্তি, ভয়েস এবং ইউনিফাইড যোগাযোগ পণ্য এবং এর গ্রাহক সহযোগিতা প্ল্যাটফর্ম।
দুর্বলতা Struts সংস্করণ 2.5.0 থেকে 2.5.32 এবং Struts সংস্করণ 6.0.0 থেকে 6.3.0 প্রভাবিত করে৷ বাগটি Struts সংস্করণ 2.0.0 থেকে Struts 2.3.37-এও উপস্থিত রয়েছে, যা এখন জীবনের শেষ।
ASF, নিরাপত্তা বিক্রেতা এবং সত্তা যেমন ইউএস সাইবার সিকিউরিটি এবং ইনফরমেশন সিকিউরিটি এজেন্সি (CISA) সুপারিশ করেছে যে সফ্টওয়্যার ব্যবহারকারী সংস্থাগুলি অবিলম্বে Struts সংস্করণ 2.5.33 বা Struts 6.3.0.2 বা তার বেশি সংস্করণে আপডেট করে৷ ASF অনুযায়ী, দুর্বলতার জন্য কোন প্রশমন উপলব্ধ নেই।
সাম্প্রতিক বছরগুলিতে, গবেষকরা স্ট্রুটে অসংখ্য ত্রুটি খুঁজে পেয়েছেন। সহজে তাদের মধ্যে সবচেয়ে উল্লেখযোগ্য ছিল জন্য CVE-2017-5638 2017 সালে, যা হাজার হাজার প্রতিষ্ঠানকে প্রভাবিত করেছে এবং ইকুইফ্যাক্সে একটি লঙ্ঘন সক্ষম করেছে যা বিস্ময়কর 143 মিলিয়ন মার্কিন গ্রাহকদের সংবেদনশীল ডেটা প্রকাশ করেছে। সেই বাগটি আসলে এখনও ঘুরে বেড়াচ্ছে — এইমাত্র-আবিষ্কৃত ব্যবহার করে প্রচারণা এনকেএ ব্লকচেইন ম্যালওয়্যার ব্যবহার করে, উদাহরণস্বরূপ, প্রাথমিক অ্যাক্সেসের জন্য এটি শোষণ করছে।
একটি বিপজ্জনক Apache Struts 2 বাগ, কিন্তু শোষণ করা কঠিন
ট্রেন্ড মাইক্রোর গবেষকরা যারা এই সপ্তাহে নতুন অ্যাপাচি স্ট্রটস দুর্বলতা বিশ্লেষণ করেছেন এটি একটি বিপজ্জনক কিন্তু যথেষ্ট কঠিন হিসাবে বর্ণনা করেছেন 2017 বাগ থেকে স্কেলে শোষণ করা, যা একটি স্ক্যান এবং শোষণ সমস্যা থেকে সামান্য বেশি ছিল।
ট্রেন্ড মাইক্রো গবেষকরা বলেছেন, "CVE-2023-50164 দুর্বলতাকে বিস্তৃত হুমকি অভিনেতাদের দ্বারা ব্যাপকভাবে শোষণ করা হচ্ছে যারা দূষিত ক্রিয়াকলাপগুলি সম্পাদন করার জন্য এই দুর্বলতার অপব্যবহার করে, এটি বিশ্বব্যাপী সংস্থাগুলির জন্য একটি গুরুত্বপূর্ণ নিরাপত্তা ঝুঁকি তৈরি করে," ট্রেন্ড মাইক্রো গবেষকরা বলেছেন৷
ত্রুটিটি মূলত একটি প্রতিপক্ষকে পাথ ট্রাভার্সাল সক্ষম করার জন্য ফাইল আপলোড প্যারামিটারগুলিকে ম্যানিপুলেট করার অনুমতি দেয়: "এটি সম্ভাব্যভাবে একটি দূষিত ফাইল আপলোড করতে পারে, রিমোট কোড এক্সিকিউশন সক্ষম করে," তারা উল্লেখ করেছে।
ত্রুটিটি কাজে লাগাতে, একজন আক্রমণকারীকে প্রথমে একটি দুর্বল অ্যাপাচি স্ট্রুটস সংস্করণ ব্যবহার করে ওয়েবসাইট বা ওয়েব অ্যাপ্লিকেশনগুলির জন্য স্ক্যান এবং সনাক্ত করতে হবে, আকামই একটিতে বলেছেন রিপোর্টটি হুমকির তার বিশ্লেষণের সারসংক্ষেপ এই সপ্তাহ. তারপরে তাদের দুর্বল সাইট বা ওয়েব অ্যাপে একটি ফাইল আপলোড করার জন্য একটি বিশেষভাবে তৈরি করা অনুরোধ পাঠাতে হবে। অনুরোধে লুকানো কমান্ড থাকবে যা দুর্বল সিস্টেম ফাইলটিকে এমন একটি অবস্থান বা ডিরেক্টরিতে স্থাপন করতে পারে যেখান থেকে আক্রমণ এটি অ্যাক্সেস করতে পারে এবং প্রভাবিত সিস্টেমে দূষিত কোড কার্যকর করতে ট্রিগার করে।
"দূষিত মাল্টিপার্ট ফাইল আপলোড সক্ষম করার জন্য ওয়েব অ্যাপ্লিকেশনটিতে অবশ্যই কিছু পদক্ষেপ প্রয়োগ করতে হবে, "আকামাই-এর সিনিয়র নিরাপত্তা গবেষক স্যাম টিঙ্কলেনবার্গ বলেছেন। "এটি ডিফল্টরূপে সক্ষম কিনা তা Struts 2 এর বাস্তবায়নের উপর নির্ভর করে। আমরা যা দেখেছি তার উপর ভিত্তি করে, এটি সম্ভবত ডিফল্টরূপে সক্ষম করা কিছু নয়।"
CVE-2023-50164-এর জন্য দুটি PoC Exploit ভেরিয়েন্ট
আকামাই বলেছেন যে এটি এখনও পর্যন্ত সর্বজনীনভাবে প্রকাশিত PoC ব্যবহার করে CVE-2023-50164 লক্ষ্যবস্তু আক্রমণ এবং মূল PoC-এর একটি বৈকল্পিক বলে মনে হয় তা ব্যবহার করে আক্রমণ কার্যকলাপের আরেকটি সেট দেখেছে।
টিঙ্কলেনবার্গ বলেছেন, "দুটি আক্রমণের মধ্যে শোষণের পদ্ধতি একই"। "তবে, যে আইটেমগুলির মধ্যে পার্থক্য রয়েছে তা হল শোষণের প্রচেষ্টায় ব্যবহৃত শেষ পয়েন্ট এবং প্যারামিটার।"
টিঙ্কলেনবার্গ যোগ করেছেন, সফলভাবে দুর্বলতাকে কাজে লাগানোর জন্য আক্রমণকারীর প্রয়োজনীয়তা বাস্তবায়নের মাধ্যমে উল্লেখযোগ্যভাবে পরিবর্তিত হতে পারে। এর মধ্যে ফাইল আপলোড ফাংশন সক্ষম করার জন্য একটি দুর্বল অ্যাপের প্রয়োজন এবং এটির জন্য একটি অননুমোদিত ব্যবহারকারীকে ফাইল আপলোড করার অনুমতি দেওয়া অন্তর্ভুক্ত। যদি একটি দুর্বল অ্যাপ অননুমোদিত ব্যবহারকারী আপলোডের অনুমতি না দেয়, তাহলে আক্রমণকারীকে অন্য উপায়ে প্রমাণীকরণ এবং অনুমোদন পেতে হবে। আক্রমণকারীকে দুর্বল ফাইল আপলোড ফাংশন ব্যবহার করে শেষ পয়েন্ট সনাক্ত করতে হবে, তিনি বলেছেন।
যদিও Apache Struts-এ এই দুর্বলতা আগের ত্রুটিগুলির তুলনায় একটি বৃহৎ পরিসরে সহজে শোষণযোগ্য নাও হতে পারে, তবে এই ধরনের ব্যাপকভাবে গৃহীত কাঠামোতে এর উপস্থিতি অবশ্যই গুরুত্বপূর্ণ নিরাপত্তা উদ্বেগ উত্থাপন করে, কোয়ালিসের দুর্বলতা এবং হুমকি গবেষণার ব্যবস্থাপক সাঈদ আব্বাসি বলেছেন।
"এই বিশেষ দুর্বলতা তার জটিলতা এবং শোষণের জন্য প্রয়োজনীয় নির্দিষ্ট শর্তগুলির কারণে দাঁড়িয়েছে, যা ব্যাপক আক্রমণকে কঠিন কিন্তু সম্ভব করে তোলে," তিনি নোট করেন। "বিভিন্ন সমালোচনামূলক সিস্টেমে অ্যাপাচি স্ট্রুটের ব্যাপক সংহতকরণের কারণে, লক্ষ্যবস্তু আক্রমণের সম্ভাবনাকে অবমূল্যায়ন করা যায় না।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- : আছে
- : হয়
- :না
- :কোথায়
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- অপব্যবহার
- প্রবেশ
- অনুযায়ী
- স্টক
- সক্রিয়ভাবে
- ক্রিয়াকলাপ
- কার্যকলাপ
- অভিনেতা
- প্রকৃতপক্ষে
- অতিরিক্ত
- অতিরিক্ত তথ্য
- যোগ করে
- গৃহীত
- আক্রান্ত
- প্রভাবিত
- সব
- অনুমতি
- অনুমতি
- এছাড়াও
- an
- বিশ্লেষণ
- বিশ্লেষণ
- এবং
- অন্য
- এ্যাপাচি
- অ্যাপ্লিকেশন
- মনে হচ্ছে,
- আবেদন
- অ্যাপ্লিকেশন
- স্থাপত্য
- রয়েছি
- কাছাকাছি
- AS
- এএসএফ
- At
- আক্রমণ
- আক্রমন
- প্রয়াস
- প্রমাণীকরণ
- অনুমোদন
- সহজলভ্য
- ভিত্তি
- ভিত্তি
- মূলত
- BE
- কারণ
- হয়েছে
- একাত্মতার
- মধ্যে
- blockchain
- লঙ্ঘন
- নম
- নির্মাণ করা
- ভবন
- কিন্তু
- by
- প্রচারাভিযান
- CAN
- না পারেন
- কারণ
- কিছু
- অবশ্যই
- সিসকো
- কোড
- সহযোগিতা
- যোগাযোগমন্ত্রী
- কোম্পানি
- তুলনা
- সম্পূর্ণ
- জটিলতা
- উদ্বেগ
- উদ্বেগ
- পরিবেশ
- গণ্যমান্য
- কনজিউমার্স
- ধারণ করা
- চলতে
- নিয়ন্ত্রণ
- পারা
- পেরেছিলেন
- সংকটপূর্ণ
- সমালোচনামূলক অবকাঠামো
- ক্রেতা
- সাইবার নিরাপত্তা
- বিপজ্জনক
- উপাত্ত
- দিন
- ডিসেম্বর
- কয়েক দশক ধরে
- ডিফল্ট
- নির্ভর করে
- বর্ণিত
- ডেভেলপারদের
- ভিন্ন
- কঠিন
- প্রকাশ
- do
- না
- কারণে
- সহজে
- সক্ষম করা
- সক্ষম করা
- সক্রিয়
- শেষপ্রান্ত
- সত্ত্বা
- Equifax
- হিসাব
- ফাঁসি
- বিশেষজ্ঞদের
- কাজে লাগান
- শোষণ
- শোষিত
- পরশ্রমজীবী
- উদ্ভাসিত
- ব্যাপক
- সত্য
- এ পর্যন্ত
- কয়েক
- ফাইল
- নথি পত্র
- প্রথম
- ত্রুটি
- সংক্রান্ত ত্রুটিগুলি
- নির্দলীয়
- জন্য
- ভাগ্য
- ভিত
- ফ্রেমওয়ার্ক
- থেকে
- ক্রিয়া
- লাভ করা
- দিলেন
- প্রদত্ত
- দেয়
- সরকার
- বৃহত্তর
- হ্যান্ডলগুলি
- কঠিন
- আছে
- জমিদারি
- he
- গোপন
- উচ্চ
- কিভাবে
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- প্রচুর
- সনাক্ত করা
- if
- অবিলম্বে
- বাস্তবায়ন
- বাস্তবায়িত
- in
- অন্তর্ভুক্ত করা
- সুদ্ধ
- নিগমবদ্ধ
- তথ্য
- তথ্য নিরাপত্তা
- পরিকাঠামো
- প্রারম্ভিক
- উদাহরণ
- ইন্টিগ্রেশন
- সমস্যা
- IT
- আইটেম
- এর
- নিজেই
- জাভা
- JPG
- পরিচিত
- বড়
- গত
- সম্ভবত
- সামান্য
- অবস্থান
- মেকিং
- ম্যালওয়্যার
- ব্যবস্থাপনা
- পরিচালক
- অনেক
- সর্বাধিক
- মানে
- পদ্ধতি
- মাইক্রো
- হতে পারে
- মিলিয়ন
- মডুলার
- অধিক
- সেতু
- বহু
- অবশ্যই
- কাছাকাছি
- প্রয়োজন
- প্রয়োজন
- নেটওয়ার্ক
- নতুন
- nst
- না।
- সুপরিচিত
- নোট
- এখন
- অনেক
- of
- on
- খোলা
- ওপেন সোর্স
- or
- সংগঠন
- মূল
- অন্যান্য
- বাইরে
- শেষ
- স্থিতিমাপ
- পরামিতি
- বিশেষ
- গত
- তালি
- পথ
- সম্পাদন করা
- জায়গা
- পরিকল্পনা সমূহ
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- POC
- সম্ভব
- সম্ভাব্য
- সম্ভাব্য
- উপস্থিতি
- বর্তমান
- প্রভাবশালী
- আগে
- পণ্য
- প্রকাশ্যে
- উত্থাপন
- পরিসর
- নির্ধারণ
- ইচ্ছাপূর্বক
- সাম্প্রতিক
- সম্প্রতি
- সুপারিশ করা
- মুক্তি
- মুক্ত
- দূরবর্তী
- দূরবর্তী অবস্থান থেকে
- রিপোর্ট
- অনুরোধ
- প্রয়োজনীয়
- আবশ্যকতা
- গবেষণা
- গবেষক
- গবেষকরা
- ফল
- ঝুঁকি
- s
- বলেছেন
- স্যাম
- একই
- বলেছেন
- স্কেল
- স্ক্যান
- সুবিবেচনা
- সেক্টর
- নিরাপত্তা
- এইজন্য
- দেখা
- পাঠান
- জ্যেষ্ঠ
- সংবেদনশীল
- সেট
- সেট
- গুরুত্বপূর্ণ
- উল্লেখযোগ্যভাবে
- স্বাক্ষর
- থেকে
- সাইট
- So
- যতদূর
- সফটওয়্যার
- কিছু
- উৎস
- বিশেষত
- নির্দিষ্ট
- বিস্ময়কর
- ব্রিদিং
- এখনো
- সফলভাবে
- এমন
- পদ্ধতি
- সিস্টেম
- লক্ষ্যবস্তু
- লক্ষ্য করে
- প্রযুক্তি
- চেয়ে
- যে
- সার্জারির
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- এই
- এই সপ্তাহ
- সেগুলো
- হাজার হাজার
- হুমকি
- হুমকি অভিনেতা
- থেকে
- প্রবণতা
- ট্রিগার
- দুই
- অনধিকার
- অধীনে
- সমন্বিত
- আপডেট
- আপডেট
- আপলোড
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহার
- বৈকল্পিক
- বিভিন্ন
- বিক্রেতা
- বিক্রেতারা
- সংস্করণ
- সংস্করণ
- মাধ্যমে
- কণ্ঠস্বর
- দুর্বলতা
- জেয়
- ছিল
- উপায়..
- we
- ওয়েব
- ওয়েব অ্যাপ্লিকেশন
- ওয়েব অ্যাপ্লিকেশন
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- আমরা একটি
- কি
- কখন
- কিনা
- যে
- হু
- ব্যাপক
- প্রশস্ত পরিসর
- ব্যাপকভাবে
- ব্যাপক
- সঙ্গে
- বিশ্বব্যাপী
- would
- বছর
- zephyrnet