প্রুফ-অফ-ধারণা (PoC) এর জন্য শোষণ করে নিরাপত্তা ত্রুটি CVE-2023-4911, লুনি টিউনেবল নামে পরিচিত, ইতিমধ্যেই তৈরি করা হয়েছে, গত সপ্তাহে বিভিন্ন লিনাক্স ডিস্ট্রিবিউশনে বহুল ব্যবহৃত GNU C লাইব্রেরিতে (glibc) পাওয়া সমালোচনামূলক বাফার ওভারফ্লো দুর্বলতার প্রকাশের পর।
স্বাধীন নিরাপত্তা গবেষক পিটার গেইসলার; উইল ডরম্যান, কার্নেগি মেলন সফটওয়্যার ইঞ্জিনিয়ারিং ইনস্টিটিউটের একজন সফ্টওয়্যার দুর্বলতা বিশ্লেষক; এবং আইন্ডহোভেন ইউনিভার্সিটি অফ টেকনোলজিতে ডাচ সাইবার সিকিউরিটি ছাত্র ছিলেন যারা পোস্ট করছেন তাদের মধ্যে PoC শোষণ GitHub উপর এবং অন্যত্র, শীঘ্রই বন্য অঞ্চলে ব্যাপক আক্রমণের ইঙ্গিত দেয়।
কোয়ালিস গবেষকদের দ্বারা প্রকাশ করা ত্রুটিটি, ফেডোরা, উবুন্টু, ডেবিয়ান এবং অন্যান্য কয়েকটি প্রধান লিনাক্স ডিস্ট্রিবিউশন চালানো সিস্টেমগুলির জন্য অননুমোদিত ডেটা অ্যাক্সেস, সিস্টেম পরিবর্তন এবং সম্ভাব্য ডেটা চুরির একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে, সম্ভাব্যভাবে অসংখ্য Linux সিস্টেমে আক্রমণকারীদের রুট সুবিধা প্রদান করে।
কোয়ালিস রাইটে-আপ উল্লেখ করেছে যে ফেডোরা 37 এবং 38, উবুন্টু 22.04 এবং 23.04, ডেবিয়ান 12 এবং 13-এর ডিফল্ট ইনস্টলেশনগুলিতে সফলভাবে দুর্বলতা শোষণ এবং সম্পূর্ণ রুট সুবিধাগুলি পাওয়ার পাশাপাশি, অন্যান্য বিতরণগুলিও সম্ভবত দুর্বল এবং শোষণযোগ্য ছিল।
কোয়ালিসের প্রোডাক্ট ম্যানেজার সাঈদ আব্বাসি, "সিস্টেম এবং ডেটা সুরক্ষার জন্য এই বাস্তব হুমকি, স্বয়ংক্রিয় ক্ষতিকারক সরঞ্জাম বা সফ্টওয়্যার যেমন এক্সপ্লয়েট কিট এবং বটগুলিতে দুর্বলতার সম্ভাব্য অন্তর্ভুক্তির সাথে, ব্যাপক শোষণ এবং পরিষেবা ব্যাহত হওয়ার ঝুঁকি বাড়িয়ে তোলে" থ্রেট রিসার্চ ইউনিটের ত্রুটি প্রকাশ হওয়ায় গত সপ্তাহে ঘোষণা করা হয়।
বহুমুখী হুমকি
লিনাক্স রুট টেকওভার অত্যন্ত বিপজ্জনক হতে পারে কারণ তারা আক্রমণকারীদের একটি লিনাক্স-ভিত্তিক সিস্টেমের উপর সর্বোচ্চ স্তরের নিয়ন্ত্রণ প্রদান করে এবং রুট অ্যাক্সেস নেটওয়ার্ক জুড়ে বিশেষাধিকার বৃদ্ধির সুবিধা দেয়, যা অতিরিক্ত সিস্টেমের সাথে আপস করতে পারে, এটি আক্রমণের সুযোগকে প্রসারিত করে।
জুলাই মাসে, উদাহরণস্বরূপ, একটি জনপ্রিয় কন্টেইনার-ভিত্তিক ফাইল সিস্টেমের উবুন্টু বাস্তবায়নে দুটি দুর্বলতা আক্রমণকারীদের অনুমতি দেওয়া হয়েছে উবুন্টু লিনাক্স ক্লাউড ওয়ার্কলোডের 40% রুট সুবিধা সহ কোড চালানোর জন্য।
আক্রমণকারীরা রুট অ্যাক্সেস লাভ করলে, তাদের কাছে সংবেদনশীল ডেটা সংশোধন, মুছে ফেলা বা অপসারণ করার, সিস্টেমে দূষিত সফ্টওয়্যার বা ব্যাকডোর ইনস্টল করার, বর্ধিত সময়ের জন্য অজ্ঞাত থাকা চলমান আক্রমণগুলিকে স্থায়ী করার জন্য সীমাহীন কর্তৃত্ব রয়েছে।
সাধারণভাবে রুট টেকওভারগুলি প্রায়শই ডেটা লঙ্ঘনের দিকে পরিচালিত করে, যা গ্রাহকের ডেটা, মেধা সম্পত্তি এবং আর্থিক রেকর্ডের মতো সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেসের অনুমতি দেয় এবং আক্রমণকারীরা গুরুত্বপূর্ণ সিস্টেম ফাইলগুলির সাথে টেম্পারিং করে ব্যবসায়িক কার্যক্রমকে ব্যাহত করতে পারে।
জটিল সিস্টেম অপারেশনের এই ব্যাঘাতের ফলে প্রায়শই পরিষেবা বিভ্রাট বা উৎপাদনশীলতা হ্রাস পায়, যার ফলে আর্থিক ক্ষতি হয় এবং প্রতিষ্ঠানের সুনাম নষ্ট হয়।
রুট টেকওভারের হুমকি চলমান এবং প্রসারিত হচ্ছে — উদাহরণস্বরূপ, একটি টাইপোসক্যাটিং এনপিএম প্যাকেজ সম্প্রতি একটি ফুল-সার্ভিস ডিসকর্ড রিমোট অ্যাক্সেস ট্রোজান RAT গোপন করে প্রকাশ্যে এসেছে। RAT হল a টার্নকি রুটকিট এবং হ্যাকিং টুল যা ওপেন সোর্স সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ বন্ধ করার জন্য প্রবেশের বাধাকে কমিয়ে দেয়।
সিস্টেম সুরক্ষিত রাখা
লিনাক্স ডিস্ট্রিবিউশন বেসের সূচকীয় বৃদ্ধি এটিকে করেছে বড় লক্ষ্য হুমকি অভিনেতাদের জন্য, বিশেষ করে ক্লাউড পরিবেশ জুড়ে।
লিনাক্স রুট টেকওভার থেকে নিজেদেরকে সক্রিয়ভাবে রক্ষা করার জন্য সংস্থাগুলির একাধিক বিকল্প রয়েছে - উদাহরণস্বরূপ, লিনাক্স অপারেটিং সিস্টেম এবং সফ্টওয়্যার নিয়মিত প্যাচিং এবং আপডেট করা এবং অ্যাক্সেস সীমাবদ্ধ করার জন্য সর্বনিম্ন বিশেষাধিকার নীতি প্রয়োগ করা।
অন্যান্য বিকল্পগুলির মধ্যে রয়েছে অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা (IDS/IPS) স্থাপন করা এবং মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) দ্বারা শক্তিশালী অ্যাক্সেস নিয়ন্ত্রণগুলিকে শক্তিশালী করা, সেইসাথে সিস্টেম লগ এবং নেটওয়ার্ক ট্র্যাফিক পর্যবেক্ষণ করা এবং নিরাপত্তা অডিট এবং দুর্বলতা মূল্যায়ন করা।
এই মাসের শুরুর দিকে, অ্যামাজন ঘোষণা করেছিল যে এটি যুক্ত হবে নতুন MFA প্রয়োজনীয়তা সময়ের সাথে সাথে অন্যান্য ব্যবহারকারীর স্তরগুলিকে অন্তর্ভুক্ত করার পরিকল্পনা সহ সর্বোচ্চ সুবিধা সহ ব্যবহারকারীদের জন্য।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits
- : আছে
- : হয়
- 12
- 13
- 22
- 23
- 7
- a
- প্রবেশ
- দিয়ে
- অভিনেতা
- যোগ
- যোগ
- অতিরিক্ত
- অনুমতি
- ইতিমধ্যে
- এছাড়াও
- পরিবর্তন
- মর্দানী স্ত্রীলোক
- বিশ্লেষক
- এবং
- ঘোষিত
- AS
- মূল্যায়ন
- At
- আক্রমণ
- আক্রমন
- অডিট
- প্রমাণীকরণ
- কর্তৃত্ব
- অটোমেটেড
- পিছনে
- বাধা
- ভিত্তি
- BE
- কারণ
- হয়েছে
- বট
- ভঙ্গের
- বাফার
- বাফার ওভারফ্লো
- ব্যবসায়
- by
- মাংস
- CAN
- কার্নেগী মেলন
- চেন
- মেঘ
- কোড
- আপস
- আবহ
- নিয়ন্ত্রণ
- নিয়ন্ত্রণগুলি
- পারা
- মিলিত
- সংকটপূর্ণ
- কঠোর
- ক্রেতা
- গ্রাহক তথ্য
- সাইবার নিরাপত্তা
- বিপজ্জনক
- উপাত্ত
- তথ্য এক্সেস
- তথ্য ব্রেক
- তথ্য নিরাপত্তা
- ডিফল্ট
- মোতায়েন
- সনাক্তকরণ
- উন্নত
- প্রকাশ
- অনৈক্য
- চূর্ণবিচূর্ণ করা
- ভাঙ্গন
- বিঘ্ন
- বিতরণ
- ডিস্ট্রিবিউশন
- ডাব
- ডাচ
- প্রয়োগ
- প্রকৌশল
- প্রবেশ
- পরিবেশের
- তীব্রতাবৃদ্ধি
- মূলত
- উদাহরণ
- এক্সিকিউট
- বিস্তৃত
- কাজে লাগান
- শোষণ
- পরশ্রমজীবী
- কীর্তিকলাপ
- ঘৃণ্য
- সূচক বৃদ্ধির
- সমাধা
- ফাইল
- নথি পত্র
- আর্থিক
- ত্রুটি
- অনুসরণ করা
- অনুসরণ
- জন্য
- পাওয়া
- থেকে
- সম্পূর্ণ
- পূর্ণ সেবা
- লাভ করা
- সাধারণ
- মঞ্জুর হলেই
- উন্নতি
- হ্যাকিং
- আছে
- সর্বোচ্চ
- অত্যন্ত
- HTTPS দ্বারা
- বাস্তবায়ন
- in
- অন্তর্ভুক্ত করা
- তথ্য
- ইনস্টল
- উদাহরণ
- প্রতিষ্ঠান
- বুদ্ধিজীবী
- বুদ্ধিজীবী সম্পত্তি
- মধ্যে
- IT
- JPG
- জুলাই
- গত
- নেতৃত্ব
- অন্তত
- উচ্চতা
- মাত্রা
- লাইব্রেরি
- আলো
- মত
- সম্ভবত
- লিনাক্স
- লোকসান
- প্রণীত
- মুখ্য
- পরিচালক
- মেলন
- এমএফএ
- পরিবর্তন
- পর্যবেক্ষণ
- মাস
- বহুমুখী
- মাল্টিফ্যাক্টর প্রমাণীকরণ
- বহু
- নেটওয়ার্ক
- নেটওয়ার্ক ট্রাফিক
- সুপরিচিত
- উপগমন
- of
- বন্ধ
- প্রায়ই
- on
- নিরন্তর
- খোলা
- ওপেন সোর্স
- অপারেটিং
- অপারেটিং সিস্টেম
- অপারেশনস
- অপশন সমূহ
- or
- সংগঠন
- অন্যান্য
- বিভ্রাটের
- শেষ
- প্যাকেজ
- বিশেষত
- প্যাচিং
- মাসিক
- পিটার
- পরিকল্পনা সমূহ
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- POC
- জনপ্রিয়
- ভঙ্গি
- সম্ভব
- সম্ভাব্য
- সম্ভাব্য
- বর্তমান
- প্রতিরোধ
- নীতি
- সুবিধা
- বিশেষাধিকার
- পণ্য
- পণ্য ব্যবস্থাপক
- প্রমোদ
- সম্পত্তি
- রক্ষা করা
- প্রদান
- কাছে
- ইঁদুর
- সম্প্রতি
- রেকর্ড
- নিয়মিত
- থাকা
- দূরবর্তী
- দূরবর্তী প্রবেশাধিকার
- খ্যাতি
- গবেষণা
- গবেষক
- গবেষকরা
- সীমাবদ্ধ করা
- ফলে এবং
- ফলাফল
- প্রকাশিত
- ঝুঁকি
- শিকড়
- দৌড়
- s
- সুযোগ
- নিরাপত্তা
- সুরক্ষা নিরীক্ষা
- দেখেন
- সংবেদনশীল
- সেবা
- বিভিন্ন
- গুরুত্বপূর্ণ
- সফটওয়্যার
- সফ্টওয়্যার প্রকৌশল
- সফ্টওয়্যার সরবরাহ শৃঙ্খলা
- শীঘ্রই
- উৎস
- বলকারক
- ছাত্র
- সফলভাবে
- এমন
- সরবরাহ
- সরবরাহ শৃঙ্খল
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- টেকওভারের
- বাস্তব
- প্রযুক্তিঃ
- যে
- সার্জারির
- চুরি
- নিজেদের
- তারা
- এই
- সেগুলো
- হুমকি
- হুমকি অভিনেতা
- সময়
- থেকে
- সরঞ্জাম
- ট্রাফিক
- সাহসী যোদ্ধা
- দুই
- উবুন্টু
- অনধিকার
- একক
- বিশ্ববিদ্যালয়
- আপডেট
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী
- বিভিন্ন
- দুর্বলতা
- দুর্বলতা
- জেয়
- ছিল
- সপ্তাহান্তিক কাল
- আমরা একটি
- ছিল
- যে
- ব্যাপকভাবে
- ব্যাপক
- বন্য
- ইচ্ছা
- সঙ্গে
- would
- zephyrnet