Log4j সাইবার নিরাপত্তা সংক্রান্ত ঝুঁকির বিষয়ে সতর্কতা

Apache Log4j সফটওয়্যার লাইব্রেরি সংস্করণ 2.0-beta9 থেকে 2.14.1 পর্যন্ত রিমোট কোড এক্সিকিউশন ভালনেরাবিলিটি/ নিরাপত্তা ত্রুটি CVE-2021-44228 চিহ্নিত হয়েছে। Log4j বিভিন্ন ধরনের ভোক্তা এবং এন্টারপ্রাইজ পরিষেবা, ওয়েবসাইট এবং অ্যাপ্লিকেশন-এর পাশাপাশি অপারেশনাল প্রযুক্তি পণ্যগুলিতে ব্যাপকভাবে ব্যবহৃত হয়। উক্ত নিরাপত্তা ত্রুটির ক্ষতির তীব্রতা নিরূপণের জন্য বিজিডি ই-গভ সার্টের ল্যাবে CVE-2021-44228/Log4Shell পরীক্ষা করা হয়েছে এবং CVE-2021-44228 ভালনেরাবিলিটি প্রয়োগ সিস্টেমের নিয়ন্ত্রণ নেয়া সম্ভব বলে নিশ্চিত হয়েছে এবং এটি একটি ক্রিটিকাল ভালনেরাবিলিটি হিসেবে চিহ্নিত হয়েছে যার সিভিএসএস(CVSS) স্কোর ১০ এর মধ্যে ১০ যা সর্বোচ্চ ঝুঁকিপূর্ণ।

এই ভালনেরাবিলিটি প্রয়োগ করে সাইবার অপরাধীরা CVE-2021-44228 নিরাপত্তা ত্রুটি যুক্ত অ্যাপ্লিকেশন সিস্টেমের নিয়ন্ত্রণ নিয়ে প্রতিষ্ঠানের স্বাভাবিক কার্যক্রম ব্যাপকভাবে ব্যাহত করবার পাশাপাশি গুরুত্বপূর্ণ তথ্যকে সম্পূর্ণ এনক্রিপ্ট করে ফেলতে পারে এবং যা পুনরুদ্ধারের জন্য সাইবার অপরাধীরা মুক্তিপন দাবি করতে পারে।

প্রাপ্ত ঝুঁকির বিষয়ে সংশ্লিষ্ট সকলকে জরুরী ভিত্তিতে নিম্নোক্ত ব্যবস্থা গ্রহণের অনুরোধ করা হলোঃ
১। Log4j সংশ্লিষ্ট অ্যাপ্লিকেশন চিহ্নিত করা এবং ইতিমধ্যে কোন সাইবার আক্রমণ হয়েছে কিনা তা নিশ্চিত হবার লক্ষে এতদসংক্রান্ত লগ নিরীক্ষা করা।
২। Log4j সফ্টওয়্যার পরিচালক প্রতিষ্ঠান ‘Apache Software Foundation’ এরই মধ্যে একটি সুরক্ষা প্যাচ (Patch) প্রকাশ করেছে উক্ত প্যাচ (Patch) দিয়ে Log4j সংশ্লিষ্ট অ্যাপ্লিকেশন হালনাগাদ করা এবং বর্ণিত নিরাপত্তা সুপারিশ মেনে চলা।
৩। প্যাচ (Patch) সংক্রান্ত তথ্য https://logging.apache.org/log4j/2.x/security.html এই ওয়েবসাইটে পাওয়া যাবে।
৪। সম্ভাব্য এই ধরনের সাইবার আক্রমণ চিহ্নিত এবং প্রতিহত করতে শক্তিশালী WAF ইনস্টল করুন এবং স্বয়ংক্রিয়ভাবে আপডেট চালু রাখা।
৫। ডেটার নিরাপদ ব্যাকআপ নিশ্চিত করা।
৬। সাইবার নিরাপত্তা সংক্রান্ত সক্ষমতা বৃদ্ধি করার পাশাপাশি সাইবার নিরাপত্তা মনিটরিং নজরদারি জোরদার করা।