हैकर्स द्वारा इसका फायदा उठाने की कोशिश शुरू करने के एक हफ्ते बाद भी दुनिया की कुछ सबसे बड़ी प्रौद्योगिकी कंपनियां आम लॉगिंग सॉफ़्टवेयर में अपने उत्पादों को सुरक्षित बनाने के लिए संघर्ष कर रही हैं।
सिस्को सिस्टम्स, आईबीएम, VMware यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी द्वारा प्रकाशित एक रनिंग टैली के अनुसार, स्प्लंक, लॉग4j भेद्यता के लिए उपलब्ध पैच के बिना गुरुवार को ग्राहकों द्वारा उपयोग किए जा रहे त्रुटिपूर्ण सॉफ़्टवेयर के कई टुकड़ों वाली कंपनियों में से थे।
लॉगिंग सॉफ़्टवेयर सर्वव्यापी सॉफ़्टवेयर है जो साइट विज़िट, क्लिक और चैट जैसी गतिविधि को ट्रैक करता है।
कंपनी के प्रयास ओपन-सोर्स सॉफ़्टवेयर के अंदर पाए गए दोष की व्यापक पहुंच को रेखांकित करते हैं, जिसे अधिकारियों और शोधकर्ताओं ने वर्षों में सबसे खराब दोष के रूप में वर्णित किया है।
चीनी टेक कंपनी अलीबाबा के एक शोधकर्ता ने इस महीने की शुरुआत में गैर-लाभकारी अपाचे सॉफ्टवेयर फाउंडेशन को चेतावनी दी थी कि Log4j न केवल चैट या क्लिक का ट्रैक रखेगा, बल्कि बाहरी साइटों के लिंक का भी पालन करेगा, जो एक हैकर को सर्वर पर नियंत्रण करने दे सकता है।
अपाचे ने प्रोग्राम के लिए एक फिक्स निकाला। लेकिन हजारों अन्य कार्यक्रम मुफ्त लकड़हारे का उपयोग करते हैं, और उनके लिए जिम्मेदार लोगों को अधिग्रहण को रोकने के लिए अपने स्वयं के पैच तैयार और वितरित करने होंगे। इसमें अन्य मुफ्त सॉफ्टवेयर शामिल हैं, जो स्वयंसेवकों द्वारा बनाए रखा जाता है, साथ ही बड़ी और छोटी कंपनियों के कार्यक्रम, जिनमें से कुछ में इंजीनियर चौबीसों घंटे काम करते हैं।
"बहुत सारे विक्रेता इस भेद्यता के लिए सुरक्षा पैच के बिना हैं," सुरक्षा खतरे के विश्लेषक केविन ब्यूमोंट ने कहा, जो सीआईएसए के लिए सूची संकलित करने में मदद कर रहे हैं। "सॉफ़्टवेयर विक्रेताओं को ओपन-सोर्स सॉफ़्टवेयर उपयोग के आसपास बेहतर, और सार्वजनिक, इन्वेंट्री की आवश्यकता होती है ताकि जोखिम का आकलन करना आसान हो - दोनों के लिए और उनके ग्राहकों के लिए।"
कुछ कंपनियां, जिनमें शामिल हैं सिस्को, कमजोरियों, उपलब्ध पैच या घुसपैठ को कम करने या उनका पता लगाने के लिए रणनीतियों की पुष्टि के साथ दैनिक रूप से कई बार मार्गदर्शन अपडेट कर रहे हैं।
गुरुवार तक, सीआईएसए सूची में लगभग 20 सिस्को उत्पाद शामिल थे जो बिना पैच के हमले की चपेट में थे, जिसमें सिस्को वेबएक्स मीटिंग्स सर्वर और सिस्को अम्ब्रेला, एक क्लाउड सुरक्षा उत्पाद शामिल थे।
लेकिन कई और लोगों को "जांच के तहत" के रूप में सूचीबद्ध किया गया था, यह देखने के लिए कि क्या वे भी कमजोर थे।
कंपनी के प्रवक्ता ने कहा, "सिस्को ने 200 से अधिक उत्पादों की जांच की है और लगभग 130 असुरक्षित नहीं हैं।" "कई प्रभावित उत्पादों में सॉफ़्टवेयर पैच के लिए दिनांक उपलब्ध हैं।"
VMware दर्जनों प्रभावित उत्पादों के साथ अपनी साइट पर एक एडवाइजरी को लगातार अपडेट कर रहा है, जिनमें कई महत्वपूर्ण कमजोरियां और "पैच लंबित" हैं। पैच के बिना उनमें से कुछ के पास छिद्रों को कम करने के लिए वर्कअराउंड है।
स्प्लंक की एक समान सूची है, साथ ही दोष का दुरुपयोग करने की कोशिश कर रहे हैकर्स के शिकार के लिए सुझाव भी हैं।
आईबीएम सूचीबद्ध अभेद्य उत्पाद लेकिन कहा कि यह "बाहरी रूप से कमजोरियों की पुष्टि या अन्यथा खुलासा नहीं करता है, यहां तक कि व्यक्तिगत ग्राहकों के लिए भी, जब तक कि कोई फिक्स या उपचार उपलब्ध न हो।"
हालांकि माइक्रोसॉफ्ट, मैंडिएंट और क्राउडस्ट्राइक सभी ने कहा है कि वे लॉग4j दोष की जांच कर रहे बेहतर सुसज्जित अमेरिकी विरोधियों से राष्ट्र-राज्य हमलावरों को देखते हैं, सीआईएसए के अधिकारियों ने बुधवार को कहा कि उन्होंने सरकार द्वारा समर्थित किसी भी सफल हमले या अमेरिकी सरकारी उपकरणों के अंदर किसी भी घुसपैठ की पुष्टि नहीं की है।
टीम में Platform Executive आशा है कि आपको '[post_title]' लेख पसंद आया होगा। Google AI क्लाउड ट्रांसलेशन के माध्यम से अंग्रेजी से भाषाओं की बढ़ती सूची में स्वचालित अनुवाद। थॉमसन रॉयटर्स में हमारे आधिकारिक सामग्री भागीदारों के माध्यम से प्रारंभिक रिपोर्टिंग। जोसेफ मेन द्वारा रिपोर्टिंग। डैन ग्रेब्लर द्वारा संपादन।
आप प्लेटफ़ॉर्म अर्थव्यवस्था में सभी नवीनतम विकासों के शीर्ष पर बने रह सकते हैं, अपनी प्रमुख चुनौतियों का समाधान ढूंढ सकते हैं और हमारे बढ़ते समुदाय के सदस्य बनकर हमारे समस्या-समाधान टूलकिट और मालिकाना डेटाबेस तक पहुंच प्राप्त कर सकते हैं। Platform Executive इसके दो सदस्यता स्तर हैं, समुदाय (मुफ़्त) और प्रीमियम (प्रति वर्ष $195), जो हमारे उत्पादों और सेवाओं तक पहुँच के विभिन्न स्तरों की पेशकश करते हैं।
