ছোট বড় কোম্পানিগুলোর নিরাপত্তা দল Log4Shell নামে একটি পূর্বের অজানা দুর্বলতা প্যাচ করার জন্য ঝাঁপিয়ে পড়েছে। যেই দূর্বলতার মূল উদ্দেশ্য ছিলো হ্যাকারদের ইন্টারনেট জুড়ে লক্ষ লক্ষ ডিভাইসের সাথে সংযুক্ত করে দেয়া। Log4shell বা লগজ্যাম, একটি রিমোট কোড এক্সিকিউশন (আরসিই) শ্রেণীর দুর্বলতা যা কিনা হ্যাকারদের দুর্বল মেশিন গুলোতে তাদের কোড গুলো প্রবেশ করাতে সাহায্য করে।
যদি তারা সক্ষম হয় তাহলে এই দুর্বলতা তাদের যেকোনো দুর্বল সার্ভার গুলোতে রিমোট কোডটি প্রবেশ করানোর উপায় করে দেবে। একই সাথে সুযোগ করে দেবে যেকোনো ম্যালওয়্যার ছড়িয়ে দেয়ার।
এই দুর্বলতা টি লক্ষ্য করা গিয়েছে log4j তে। log4j একটি ওপেন সোর্স লগিং লাইব্রেরি যা ইন্টারনেটের বেশিরভাগ অ্যাপ কিংবা সেবাখাত সমূহ ব্যবহার করে আসছে। লগিং এমন একটি প্রক্রিয়া যেখানে অ্যাপ্লিকেশনগুলি তাদের সম্পাদন করা ক্রিয়াকলাপের একটি চলমান তালিকা রাখে যেন পরবর্তীতে কোনো ত্রুটি পাওয়া গেলে তা পর্যালোচনা করা যেতে পারে। প্রায় প্রতিটি নেটওয়ার্ক নিরাপত্তা সিস্টেম এক ধরণের লগিং প্রক্রিয়া ব্যবহার করে, যা log4j এর মতো জনপ্রিয় ওপেন সোর্স লাইব্রেরিগুলিকে একটি বিশাল সুযোগ করে দেয়।
মার্কাস হাচিন্স, একজন বিশিষ্ট নিরাপত্তা গবেষক যিনি বিশ্বব্যাপী WannCry ম্যালওয়্যার আক্রমণ থামানোর জন্য সর্বাধিক পরিচিত, অনলাইনে উল্লেখ করেছেন যে এর কারণে লক্ষ লক্ষ অ্যাপ্লিকেশন প্রভাবিত হবে। হাচিন্স একটি টুইটে বলেন, “লক্ষ লক্ষ অ্যাপ্লিকেশন লগিংয়ের জন্য log4j ব্যবহার করে, এবং আক্রমণকারীকে যা করতে হবে তা হ’ল একটি বিশেষ স্ট্রিং লগ করার জন্য অ্যাপটি পাওয়া।”
এটি প্রথমে মাইনক্র্যাফট সার্ভারহোস্টিং সাইটগুলিতে দেখা যায়, যেখানে আবিষ্কার করা হয় যে আক্রমণকারীরা চ্যাট বার্তা পোস্ট করার মাধ্যমেই দুর্বলতা কে ট্রিগার করতে পারে। নিরাপত্তা বিশ্লেষণ সংস্থা গ্রেনয়েজ-এর একটি টুইট জানিয়েছে যে সংস্থাটি ইতোমধ্যে মাধ্যমে বেশ কয়েকটি সার্ভার সনাক্ত করেছে যারা ইন্টারনেটে সেসকল মেশিন অনুসন্ধ্যান করছে যা কিনা এই শোষণের প্রতি দুর্বল।
অ্যাপ্লিকেশন নিরাপত্তা সংস্থা লুনাসেকের একটি ব্লগ পোস্টে দাবি করা হয়েছে যে গেমিং প্ল্যাটফর্ম স্টিম এবং অ্যাপলের আইক্লাউড ইতিমধ্যে ইতোমধ্যে ঝুঁকিপূর্ণ বলে প্রমাণিত হয়েছে। ভালভ বা অ্যাপল কেউই তাৎক্ষণিকভাবে এ মন্তব্যের অনুরোধে কোনো সাড়া দেয়নি। দুর্বলতা কাজে লাগাতে, একজন আক্রমণকারীকে অ্যাপনিলকেশন টি দ্বারা লগের অক্ষরগুলির একটি বিশেষ স্ট্রিং সংরক্ষণ করিয়ে রাখতে হবে। যেহেতু অ্যাপ্লিকেশনগুলি নিয়মিতভাবে বিভিন্ন ধরণের ঘটনা লগ করে – যেমন ব্যবহারকারীদের দ্বারা প্রেরিত এবং প্রাপ্ত বার্তা, অথবা সিস্টেমের ত্রুটি ইত্যাদি। তাই দুর্বলতাটি কাজে লাগানো অস্বাভাবিকভাবে সহজ এবং এটি বিভিন্ন উপায়ে ট্রিগার করা যেতে পারে।
ক্লাউডফ্লেয়ার সিটিও জন গ্রাহাম-কামিং বলেন, “জাভা এবং log4j প্যাকেজটি ব্যাপক ব্যবহারের কারণে এটি একটি অত্যন্ত গুরুতর দুর্বলতা হিসেবে দাড়িয়েছে।” তিনি আরো বলেছেন, “ইন্টারনেট এবং ব্যাক-এন্ড সিস্টেমে প্রচুর পরিমাণে জাভা সফ্টওয়্যার সংযুক্ত রয়েছে। ১০ বছর পিছনে তাকালে আমি একই তীব্রতার আরও দুটি কীর্তিকলাপের কথা ভাবতে পারি। প্রথমতঃ হার্টব্লিড, যা কিনা নিরাপদ হওয়া উচিত এমন সার্ভার গুলি থেকে আপনাকে তথ্য বের করে দিতে পারতো এবং শেলশক, যা আপনাকে একটি দূরবর্তী মেশিনে কোড চালানোর অনুমতি দিতে পারতো।”
যেসকল অ্যাপ্লিকেশনগুলি এই দূর্বলতার জন্য ঝুঁকিপূর্ণ তাদের বৈচিত্র্য অনুযায়ী বলা চলে যে শুধুমাত্র ফায়ারওয়াল সুরক্ষা ঝুঁকি দূর করতে সক্ষম নয়। তাত্ত্বিকভাবে আক্রমণটি যে শুধু ইন্টারনেটের মাধ্যমেই হবে টা নয়। বরং আক্রমণকারী শারীরিকভাবেও উদ্যোগ নিতে পারে। উদাহরণস্বরূপ যেকোনো প্যাকেজ ডেলিভারি কোম্পানি দ্বারা স্ক্যানকৃত একটি কিউআর কোডে স্ট্রিং প্রবেশ করিয়ে খুব সহজে যেকারো অজান্তেই আক্রমণ করা সম্ভব।
এই দুর্বলতাকে প্রশমিত করার জন্য log4j-এর লাইব্রেরিতে একটি আপডেট ইতিমধ্যে প্রকাশ করা হয়েছে, তবে সমস্ত দুর্বল মেশিনগুলি আপডেট করা হয়েছে তা নিশ্চিত করতে সময় নেওয়া হচ্ছে, Log4Shell এখন একটি গুরুত্বপূর্ণ হুমকি হিসাবে রয়ে গেছে। এবিষয়ে আপনাদের কি মতামত তা অবশ্যই জানাবেন। আমাদের সাথে থাকার জন্য সকলকে ধন্যবাদ।