Log4j সাইবার নিরাপত্তা সংক্রান্ত ঝুঁকির বিষয়ে সতর্কতা

Apache Log4j সফটওয়্যার লাইব্রেরি সংস্করণ 2.0-beta9 থেকে 2.14.1 পর্যন্ত রিমোট কোড এক্সিকিউশন ভালনেরাবিলিটি/ নিরাপত্তা ত্রুটি CVE-2021-44228 চিহ্নিত হয়েছে। Log4j বিভিন্ন ধরনের ভোক্তা এবং এন্টারপ্রাইজ পরিষেবা, ওয়েবসাইট এবং অ্যাপ্লিকেশন-এর পাশাপাশি অপারেশনাল প্রযুক্তি পণ্যগুলিতে ব্যাপকভাবে ব্যবহৃত হয়। উক্ত নিরাপত্তা ত্রুটির ক্ষতির তীব্রতা নিরূপণের জন্য বিজিডি ই-গভ সার্টের ল্যাবে CVE-2021-44228/Log4Shell পরীক্ষা করা হয়েছে এবং CVE-2021-44228 ভালনেরাবিলিটি প্রয়োগ সিস্টেমের নিয়ন্ত্রণ নেয়া সম্ভব বলে নিশ্চিত হয়েছে এবং এটি একটি ক্রিটিকাল ভালনেরাবিলিটি হিসেবে চিহ্নিত হয়েছে যার সিভিএসএস(CVSS) স্কোর ১০ এর মধ্যে ১০ যা সর্বোচ্চ ঝুঁকিপূর্ণ।

এই ভালনেরাবিলিটি প্রয়োগ করে সাইবার অপরাধীরা CVE-2021-44228 নিরাপত্তা ত্রুটি যুক্ত অ্যাপ্লিকেশন সিস্টেমের নিয়ন্ত্রণ নিয়ে প্রতিষ্ঠানের স্বাভাবিক কার্যক্রম ব্যাপকভাবে ব্যাহত করবার পাশাপাশি গুরুত্বপূর্ণ তথ্যকে সম্পূর্ণ এনক্রিপ্ট করে ফেলতে পারে এবং যা পুনরুদ্ধারের জন্য সাইবার অপরাধীরা মুক্তিপন দাবি করতে পারে।

প্রাপ্ত ঝুঁকির বিষয়ে সংশ্লিষ্ট সকলকে জরুরী ভিত্তিতে নিম্নোক্ত ব্যবস্থা গ্রহণের অনুরোধ করা হলোঃ
১। Log4j সংশ্লিষ্ট অ্যাপ্লিকেশন চিহ্নিত করা এবং ইতিমধ্যে কোন সাইবার আক্রমণ হয়েছে কিনা তা নিশ্চিত হবার লক্ষে এতদসংক্রান্ত লগ নিরীক্ষা করা।
২। Log4j সফ্টওয়্যার পরিচালক প্রতিষ্ঠান ‘Apache Software Foundation’ এরই মধ্যে একটি সুরক্ষা প্যাচ (Patch) প্রকাশ করেছে উক্ত প্যাচ (Patch) দিয়ে Log4j সংশ্লিষ্ট অ্যাপ্লিকেশন হালনাগাদ করা এবং বর্ণিত নিরাপত্তা সুপারিশ মেনে চলা।
৩। প্যাচ (Patch) সংক্রান্ত তথ্য https://logging.apache.org/log4j/2.x/security.html এই ওয়েবসাইটে পাওয়া যাবে।
৪। সম্ভাব্য এই ধরনের সাইবার আক্রমণ চিহ্নিত এবং প্রতিহত করতে শক্তিশালী WAF ইনস্টল করুন এবং স্বয়ংক্রিয়ভাবে আপডেট চালু রাখা।
৫। ডেটার নিরাপদ ব্যাকআপ নিশ্চিত করা।
৬। সাইবার নিরাপত্তা সংক্রান্ত সক্ষমতা বৃদ্ধি করার পাশাপাশি সাইবার নিরাপত্তা মনিটরিং নজরদারি জোরদার করা।

Share