Log4Shell : ஹேக்கிங் அபாயத்தில் அமேசான், ட்விட்டர், ஆப்பிள்.! எச்சரிக்கை கொடுத்த வல்லுநர்கள்!!
ஆப்பிள் ஐ-க்ளவுட், அமேசான், ட்விட்டர், க்ளவுட்ஃபேர், மைன்க்ரேஃப்ட் முதலான பல்வேறு இணையச் சேவைகள் தாக்குதலுக்கு உள்ளாகும் இலக்குகளாக இருப்பதாக சைபர் பாதுகாப்பு ஆர்வலர்கள் எச்சரிக்கை விடுத்துள்ளனர்.
ஆப்பிள் ஐ-க்ளவுட், அமேசான், ட்விட்டர், க்ளவுட்ஃபேர், மைன்க்ரேஃப்ட் முதலான பல்வேறு பிரபல இணையப் பயன்பாட்டுச் சேவைகள் தற்போது எளிதாகத் தாக்குதலுக்கு உள்ளாகும் இலக்குகளாக இருப்பதாக சைபர் பாதுகாப்பு ஆர்வலர்கள் எச்சரிக்கை விடுத்துள்ளனர். இதனால் பல்வேறு நிறுவனங்களில் Log4Shell என்ற எளிய இலக்குக்கு ஆளாகும் மென்பொருளைச் சரிசெய்யும் முயற்சிகளில் ஈடுபட்டு வருகின்றன.
உலகம் முழுவதும் பரவலாகப் பயன்படுத்தப்பட்ட ஜாவா மென்பொருள் லாகிங் சிஸ்டமான log4j2 என்ற மென்பொருள் எளிதில் சைபர் தாக்குதல்களுக்கு இலக்காகலாம் என்று கூறப்படுகிறது.
இது தாக்குதலுக்கு உள்ளாக்கப்பட்டால், அதன் மூலம் பல்வேறு சர்வர்களில் அது ஏற்றப்பட்டு, இதன்மூலம் பல்லாயிரக்கணக்கான கம்ப்யூட்டர்களுக்கு மால்வேர்களை அனுப்பி அவற்றைத் தாக்க ஹேக்கர்களால் எளிதாக நிகழ்த்த முடியும்.
`இந்த விவகாரத்தில் பல்வேறு சேவைகள் இலக்காகும் வாய்ப்புகள் இருக்கின்றன. க்ளவுட் சேவைகளான ஸ்டீம், ஆப்பிள் ஐ-க்ளவுட், மைன்க்ரேஃப்ட் முதலான ஆப்கள் ஆகியவை ஏற்கனவே எளிதில் இலக்காகலாம்’ என்று ஆப் பாதுகாப்பு நிறுவனமான லூனாசெக் நிறுவனத்தில் பணியாற்றும் ஆய்வாளர்கள் கூறியுள்ளனர்.
`Apache Struts மென்பொருளைப் பயன்படுத்தும் எவரும் இதற்கு இலக்காக மாறலாம். கடந்த 2017ஆ ஆண்டு ஈக்விஃபேக்ஸ் டேட்டாவின் மீது நிகழ்த்தப்பட்ட பெரிய மீறலைப் போல, தற்போதும் நிகழலாம்’ என்றும் இந்த ஆய்வாளர்கள் கூறியுள்ளனர்.
மைன்க்ரேஃப்ட், பேபர் முதலான திறந்த வெளிப் பயன்பாட்டுச் சேவைகள் ஏற்கனவே log4j2 பயன்பாட்டை சரிசெய்யும் பணிகளைத் தொடங்கியுள்ளன.
Log4Shell சைபர் தாக்குதலுக்கு மிக எளிதாக இலக்காக மாறக் கூடிய சர்வர்களைக் கொண்ட நிறுவனங்கள் என இதுவரை ஆப்பிள், அமேசான், க்ளவுட்ஃப்ளேர், ட்விட்டர், ஸ்டீம், பாய்டு, நெட் ஈஸ், டென்செண்ட், எலாஸ்டிக் ஆகியவற்றுடன் சுமார் நூற்றூக்கும் மேற்பட்ட நிறுவனங்கள் தாக்கப்படும் வாய்ப்புகள் இருக்கின்றன. இவ தாக்கப்பட்டால் தொடர்ந்து இவற்றோடு தொடர்புடைய ஆயிரக்கணக்கான நிறுவனங்களுக்கும் இந்தத் தாக்குதல் தொடரலாம்.
க்ளவுட்ஃப்ளேர் நிறுவனம் வெளியிட்டுள்ள செய்திக் குறிப்பில், இதுபோன்ற சைபர் தாக்குதல்களில் இருந்து பாதுகாத்துக் கொள்ள இணையச் சேவைகள் மீண்டும் அப்டேட் செய்யப்பட்டுள்ளதாகவும், அவை தாக்கப்படுவதற்கான சான்றுகள் தற்போது இல்லை எனவும் கூறப்பட்டுள்ளது.
`Log4j மென்பொருள் இலக்காகி இருப்பது என்பதுபல்வேறு மென்பொருள் கட்டமைப்புகள் ஒன்றாக செயல்படுவதால் அச்சுறுத்தலாக மாறியுள்ளது. இது அமெரிக்காவின் தேசிய பாதுகாப்பு நிறுவனத்தின் `கிட்ரா’ மென்பொருளுக்கும் அச்சுறுத்தலாக அமைந்துள்ளது’ என்று அமெரிக்காவின் தேசிய பாதுகாப்பு நிறுவனத்தின் சைபர் பாதுகாப்புப் பிரிவு இயக்குநர் ராபர்ட் ஜாய்ஸ் தெரிவித்துள்ளார்.
அமெரிக்காவின் தேசிய பாதுகாப்பு நிறுவனம் அனைவரும் எளிதாகப் பயன்படுத்தும் இலவச இணையப் பயன்பாட்டுச் சேவை `கிட்ரா’.
இந்த விவகாரம் தொடர்பாக நியூசிலாந்து, ஜெர்மனி முதலான நாடுகளின் அரசு சைபர் பாதுகாப்பு நிறுவனங்களும் Log4Shell தாக்குதல் மூலம் ஹேக்கர்கள் சர்வர்களைக் கைப்பற்றுவது குறித்து எச்சரிக்கை விடுத்துள்ளனர்.