Log4j خطرات یہاں رہنے کے لیے ہیں — کیا آپ تیار ہیں؟

وسیع پیمانے پر خطرہ جو پہلی بار 4 میں Apache Log2021j میں ظاہر ہوا۔ استحصال جاری رہے گا، ممکنہ طور پر اس سے بھی بدتر طریقوں سے جو ہم نے آج تک دیکھا ہے۔ ان خطرات کا زیادہ تشویشناک پہلو یہ ہے کہ مستقبل میں مہینوں یا سالوں تک ان کا استحصال ہوتے رہنے کا ایک اچھا موقع ہے۔

محکمہ ہوم لینڈ سیکیورٹی کے سائبر سیفٹی ریویو بورڈ نے 2021 میں ڈیبیو کیا، اور 2022 میں اپنا افتتاحی حفاظتی رپورٹ (پی ڈی ایف)۔ اس میں، بورڈ نے Log4j کو ایک "مقامی خطرے" قرار دیا، بنیادی طور پر اس لیے کہ Log4j کے لیے کوئی جامع "کسٹمر لسٹ" نہیں ہے، جس کی وجہ سے خطرات کو برقرار رکھنا قریب قریب ناممکن ہے۔ یہاں تک کہ وفاقی کابینہ کے ایک محکمے نے اپنے Log33,000j جواب پر 4 گھنٹے گزارے۔

اور مارکیٹ میں بہت سی تنظیمیں اور سیکیورٹی حل استحصال اور کمزوری کے درمیان فرق کو پہچاننے میں ناکام رہتے ہیں - حملہ آوروں کے لیے نقصان دہ سرگرمی کو انجام دینے کا موقع چھوڑ کر۔

استحصال بمقابلہ کمزوری

آج سائبرسیکیوریٹی کے ساتھ اہم مسائل میں سے ایک کمزوریوں اور ان کی شدت کے درمیان فرق کو سمجھنا ہے۔ جب استحصال بمقابلہ کمزوری کی پیمائش کی بات آتی ہے، تو اس میں بڑا فرق ہوتا ہے کہ آیا آپ کے کاروبار کے اندر سیکیورٹی خطرہ فائدہ مند ہے یا اگر یہ صرف "خطرناک" ہے اور کاروبار میں رکاوٹ نہیں بن سکتا یا کسی اہم اثاثے تک نہیں پہنچ سکتا۔ سیکیورٹی ٹیمیں ان دونوں کے درمیان فرق کو سمجھنے میں بہت زیادہ وقت صرف کرتی ہیں اور استحصال کرنے والوں کو ترجیح دینے کی بجائے ہر خطرے کو جیسے ہی آتی ہیں اسے ٹھیک کرتی ہیں۔

ہر کمپنی میں ہزاروں عام کمزوریاں اور نمائشیں (CVEs) ہوتی ہیں، جن میں سے اکثر کامن ولنریبلٹی اسکورنگ سسٹم (CVSS) پر زیادہ اسکور کرتی ہیں، اس لیے ان سب کو ٹھیک کرنا ناممکن ہے۔ اس کا مقابلہ کرنے کے لیے، امید یہ ہے کہ خطرے پر مبنی خطرے کے انتظام (RBVM) ٹولز یہ واضح کر کے ترجیح کو آسان بنائیں کہ کیا فائدہ مند ہے۔.

تاہم، حفاظتی ترجیحی نقطہ نظر جو CVSS سکور کو RBVM تھریٹ انٹیل کے ساتھ جوڑتے ہیں وہ بہترین نتائج فراہم نہیں کرتے ہیں۔ یہاں تک کہ فلٹر کرنے اور جنگل میں کیا فائدہ مند ہے اس کو دیکھنے کے بعد بھی، سیکورٹی ٹیموں کے پاس ابھی بھی بہت کچھ سنبھالنا باقی ہے کیونکہ فہرست طویل اور غیر منظم ہے۔ اور صرف اس وجہ سے کہ CVE کا آج کوئی استحصال نہیں ہے اس کا مطلب یہ نہیں ہے کہ اس کے پاس اگلے ہفتے کوئی نہیں ہوگا۔

اس کے جواب میں، کمپنیاں پیش گوئی کرنے والے رسک AI کو شامل کر رہی ہیں، جس سے صارفین کو یہ سمجھنے میں مدد مل سکتی ہے کہ آیا مستقبل میں CVE کا استحصال کیا جا سکتا ہے۔ یہ اب بھی کافی نہیں ہے اور حل کرنے کے لیے بہت سارے مسائل کا باعث بنتا ہے۔ ہزاروں کمزوریاں اب بھی استحصال کرنے کے لیے دکھائی دیں گی، لیکن بہت سے لوگوں کے پاس دیگر شرائط ہوں گی جنہیں درحقیقت مسئلہ سے فائدہ اٹھانے کے لیے پورا کرنا ہوگا۔

مثال کے طور پر، Log4j کے ساتھ، درج ذیل پیرامیٹرز کو شناخت کرنے کی ضرورت ہے:

• کیا کمزور Log4j لائبریری موجود ہے؟
• کیا یہ چلتی جاوا ایپلیکیشن سے بھری ہوئی ہے؟
• کیا JNDI تلاش فعال ہے؟
• کیا جاوا ریموٹ کنکشن سن رہا ہے، اور کیا دوسری مشینوں کے لیے کوئی کنکشن ہے؟

اگر شرائط اور پیرامیٹرز کو پورا نہیں کیا جاتا ہے، تو خطرہ اہم نہیں ہے اور اسے ترجیح نہیں دی جانی چاہیے۔ اور یہاں تک کہ اگر کسی مشین پر کمزوری کا فائدہ اٹھایا جا سکتا ہے، تو کیا؟ کیا وہ مشین انتہائی نازک ہے، یا شاید یہ کسی اہم یا حساس اثاثوں سے منسلک نہیں ہے؟

یہ بھی ممکن ہے کہ مشین اہم نہ ہو پھر بھی یہ حملہ آور کو خفیہ طریقوں سے اہم اثاثوں کی طرف جانے کے قابل بنا سکتی ہے۔ دوسرے لفظوں میں، سیاق و سباق کلیدی ہے - کیا یہ خطرہ اہم اثاثہ کے ممکنہ حملے کے راستے پر ہے؟ کیا یہ کافی ہے کہ ایک چوک پوائنٹ (ایک سے زیادہ حملے کے راستوں کا ایک چوراہے) پر کسی خطرے کو ختم کر کے حملے کے راستے کو کسی اہم اثاثے تک پہنچنے سے روکا جا سکے؟

سیکیورٹی ٹیمیں کمزوری کے عمل اور ان کے حل سے نفرت کرتی ہیں، کیونکہ زیادہ سے زیادہ خطرات ہیں — کوئی بھی کبھی بھی سلیٹ کو مکمل طور پر صاف نہیں کر سکتا۔ لیکن اگر وہ کر سکتے ہیں۔ کیا بنا سکتا ہے اس پر توجہ مرکوز کریں نقصان ایک اہم اثاثہ کے لئے، وہ اس بات کی بہتر سمجھ سکتے ہیں کہ کہاں سے آغاز کرنا ہے۔

Log4j کی کمزوریوں کا مقابلہ کرنا

اچھی خبر یہ ہے کہ خطرے کا مناسب انتظام Log4j-مرکزی حملوں کی نمائش کو کم کرنے اور اس کو درست کرنے میں مدد کر سکتا ہے کہ ممکنہ استحصال کا خطرہ کہاں موجود ہے۔

خطرے کا انتظام سائبرسیکیوریٹی کا ایک اہم پہلو ہے اور یہ سسٹم اور ڈیٹا کی سلامتی اور سالمیت کو یقینی بنانے کے لیے ضروری ہے۔ تاہم، یہ ایک مکمل عمل نہیں ہے اور ان کی شناخت اور ان کو کم کرنے کی بہترین کوششوں کے باوجود سسٹمز میں کمزوریاں اب بھی موجود رہ سکتی ہیں۔ خطرے کے انتظام کے عمل اور حکمت عملیوں کا باقاعدگی سے جائزہ لینا اور ان کو اپ ڈیٹ کرنا ضروری ہے تاکہ یہ یقینی بنایا جا سکے کہ وہ موثر ہیں اور کمزوریوں کو بروقت حل کیا جا رہا ہے۔

خطرے کے انتظام کی توجہ نہ صرف خود کمزوریوں پر، بلکہ استحصال کے ممکنہ خطرے پر بھی ہونی چاہیے۔ ان پوائنٹس کی نشاندہی کرنا ضروری ہے جہاں حملہ آور نے نیٹ ورک تک رسائی حاصل کی ہو گی، ساتھ ہی وہ راستے جو وہ اہم اثاثوں سے سمجھوتہ کرنے کے لیے اختیار کر سکتے ہیں۔ کسی خاص خطرے کے خطرات کو کم کرنے کا سب سے موثر اور سرمایہ کاری مؤثر طریقہ یہ ہے کہ کمزوریوں، غلط کنفیگریشنز، اور صارف کے رویے کے درمیان کنکشن کی نشاندہی کی جائے جن کا حملہ آور کے ذریعے فائدہ اٹھایا جا سکتا ہے، اور خطرے سے فائدہ اٹھانے سے پہلے ان مسائل کو فعال طور پر حل کرنا ہے۔ اس سے حملے میں خلل ڈالنے اور نظام کو پہنچنے والے نقصان کو روکنے میں مدد مل سکتی ہے۔

آپ کو درج ذیل کام بھی کرنا چاہیے:

• پیچ: اپنے تمام پروڈکٹس کی شناخت کریں جو Log4j کے لیے خطرناک ہیں۔ یہ دستی طور پر یا اوپن سورس اسکینرز کا استعمال کرکے کیا جاسکتا ہے۔ اگر آپ کی کمزور مصنوعات میں سے کسی ایک کے لیے متعلقہ پیچ جاری کیا جاتا ہے، تو ASAP سسٹم کو پیچ کریں۔
• کام کاج: Log4j ورژن 2.10.0 اور اس سے اوپر کے جاوا CMD لائن میں، درج ذیل سیٹ کریں: log4j2.formatMsgNoLookups=true
• بلاک: اگر ممکن ہو تو، بلاک کرنے کے لیے اپنی ویب ایپلیکیشن فائر وال میں ایک اصول شامل کریں: "jndi:"

پرفیکٹ سیکیورٹی ایک ناقابل حصول کارنامہ ہے، اس لیے اچھے کے دشمن کو کامل بنانے کا کوئی مطلب نہیں ہے۔ اس کے بجائے، ممکنہ حملے کے راستوں کو ترجیح دینے اور ان کو بند کرنے پر توجہ مرکوز کریں جو سلامتی کی حالت کو مسلسل بہتر بناتے ہیں۔ اس بات کی نشاندہی کرنا اور حقیقت پسند ہونا کہ اصل میں کیا کمزور ہے بمقابلہ استحصال کیا جا سکتا ہے، اس میں مدد مل سکتی ہے، کیونکہ یہ وسائل کو حکمت عملی کے ساتھ ان اہم علاقوں کی طرف منتقل کرنے کی صلاحیت فراہم کرے گا جو سب سے اہم ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-