বিজ্ঞান ও প্রযুক্তি ডেস্ক:
‘লগফোরজে’ টুলে নিরাপত্তা ত্রুটি ধরা পড়ায় সর্বোচ্চ সতকর্তা জারি করেছে সরকারি সংস্থা বাংলাদেশ কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ সার্ট)।
বুধবার (১৫ ডিসেম্বর) এক সংবাদ বিজ্ঞপ্তিতে সাইবার নিরাপত্তা সংক্রান্ত ঝুঁকির (লগফোরজে) বিষয়ে সংশ্লিষ্টদের সর্বোচ্চ সতর্ক থাকার জন্য বলেছেন বিজিডি ই-গভ সার্টের প্রকল্প পরিচালক ও ডিজিটাল নিরাপত্তা এজেন্সির পরিচালক (অপারেশন) তারেক এম বরকতউল্লাহ।
তিনি জানান, বিজিডি ই-গভ সার্টের সাইবার সেন্সর ইউনিটের নিয়মিত পর্যবেক্ষণে অ্যাপাচি লগফোরজে সফটওয়্যার লাইব্রেরি সংস্করণ ২.০-বেটা ৯ থেকে ২.১৪.১ পর্যন্ত রিমোট কোড এক্সিকিউশন ভালনেরাবিলিটি/নিরাপত্তা ত্রুটি সিভিই-২০২১-৪৪২২৮ চিহ্নিত হয়েছে। লগফোরজে বিভিন্ন ধরনের ভোক্তা এবং এন্টারপ্রাইজ পরিষেবা, ওয়েবসাইট এবং অ্যাপ্লিকেশনের পাশাপাশি অপারেশনাল প্রযুক্তি পণ্যগুলোতে ব্যাপকভাবে ব্যবহৃত হয়।
এই নিরাপত্তা ত্রুটির ক্ষতির মাত্রা নিরূপণের জন্য বিজিডি ই-গভ সার্ট ল্যাবে সিভিই-২০২১-৪৪২২৮/লগফোরসেল পরীক্ষা করেছে এবং সিভিই-২০২১-৪৪২২৮ ভালনেরাবিলিটি প্রয়োগ সিস্টেমের নিয়ন্ত্রণ নেওয়া সম্ভব বলে নিশ্চিত হয়েছে। এটি একটি বিপজ্জনক ত্রুটি হিসেবে চিহ্নিত হয়েছে, যার সিভিএসএস স্কোর ১০ এর মধ্যে ১০। যা সর্বোচ্চ ঝুঁকিপূর্ণ।
এই নিরাপত্তা দুর্বলতা ব্যবহার করে সাইবার অপরাধীরা সিভিই-২০২১-৪৪২২৮ নিরাপত্তা ত্রুটিযুক্ত অ্যাপ্লিকেশন সিস্টেমের নিয়ন্ত্রণ নিয়ে প্রতিষ্ঠানের স্বাভাবিক কার্যক্রম ব্যাপকভাবে ব্যাহত করার পাশাপাশি গুরুত্বপূর্ণ তথ্যকে সম্পূর্ণ এনক্রিপ্ট করে ফেলতে পারে এবং যা পুনরুদ্ধারের জন্য সাইবার অপরাধীরা মুক্তিপণ দাবি করতে পারে বলে সতর্ক করেছে বিজিডি ই-গভ সার্ট।
এ নিরাপত্তা ঝুঁকির বিষয়ে সংশ্লিষ্ট সবাইকে জরুরি ভিত্তিতে ব্যবস্থা নিতে অনুরোধ করেছে বিজিডি ই-গভ সার্ট। এর মধ্যে রয়েছে- লগফোরজে সংশ্লিষ্ট অ্যাপ্লিকেশন চিহ্নিত করা এবং ইতিমধ্যে কোনো সাইবার আক্রমণ হয়েছে কি না তা নিশ্চিত হবার জন্য সংশ্লিষ্ট লগ নিরীক্ষা করা।
লগফোরজে সফটওয়্যার পরিচালক প্রতিষ্ঠান ‘অ্যাপাচি সফটওয়্যার ফাউন্ডেশন’ ইতোমধ্যে একটি নিরাপত্তা প্যাচ উন্মুক্ত করেছে। এ প্যাচ দিয়ে লগফোরজে সংশ্লিষ্ট অ্যাপ্লিকেশন আপডেট করা এবং বর্ণিত নিরাপত্তা সুপারিশ মেনে চলা। প্যাচ সংক্রান্ত তথ্য https://logging.apache.org/log4j/2.x/security.html এই ওয়েবসাইটে পাওয়া যাবে।
সম্ভাব্য এই ধরনের সাইবার আক্রমণ চিহ্নিত এবং প্রতিহত করতে শক্তিশালী WAF ইনস্টল করা এবং স্বয়ংক্রিয়ভাবে আপডেট চালু রাখা। ডাটার নিরাপদ ব্যাকআপ নিশ্চিত করা। সাইবার নিরাপত্তা সংক্রান্ত সক্ষমতা বৃদ্ধির পাশাপাশি সাইবার নিরাপত্তা মনিটরিং নজরদারি জোরদার করা।
বিএসডি/জেজে