ലിനക്സ്, യുണിക്സ് സെർവറുകൾക്കായുള്ള യൂട്ടിലിറ്റിയിൽ ബാക്ക്ഡോർ കണ്ടെത്തി

2019-ലെ DEF CON 2019 സുരക്ഷാ സമ്മേളനത്തിനിടെയാണു് വെബ്‌മിൻ എന്ന യുണിക്സ് വെബ് അധിഷ്ഠിത സോഫ്റ്റ്‍വെയറില്‍ 2018 ൽ മനഃപൂർവ്വം പ്ലാന്റ് ചെയ്ത ബാക്ക്ഡോർ ഗവേഷകർ കണ്ടെത്തിയതു്. ഗവേഷകർ പറയുന്നതനുസരിച്ച്, ബഗ് കണ്ടെത്തുന്നതിന് ഒരു വർഷം മുമ്പ് ഈ ജനപ്രിയ യൂട്ടിലിറ്റിയിൽ രഹസ്യ ബാക്ക്ഡോർ ഇംപ്ലാന്റ് ചെയ്തിരുന്നു.

വെബ്‌മിൻ എന്ന യുണിക്സ് വെബ് അധിഷ്ഠിത സോഫ്റ്റ്‍വെയറില്‍ 2018 ൽ മനഃപൂർവ്വം പ്ലാന്റ് ചെയ്ത ബാക്ക്ഡോർ ഗവേഷകർ കണ്ടെത്തി

സ്വതന്ത്ര ലൈസന്‍സിലുള്ള സോഫ്റ്റ്‍വെയറില്‍ ഇത്തരം മലീഷ്യസ് കോഡ് ഉണ്ടെങ്കില്‍ പ്രൊപ്രൈറ്ററി ലൈസന്‍സിലുള്ളവയുടെ കാര്യം എന്തായിരിക്കും എന്നു് ഊഹിക്കാന്‍ പോലും സാധ്യമല്ല.

ബാക്ക്ഡോർ ഉണ്ടെന്നറിയാവുന്ന ആർക്കും റൂട്ട് പെര്‍മിഷനില്‍ സിസ്റ്റം പ്രവർത്തിപ്പിക്കാനുള്ള കഴിവാണു് ഈ ബാക്‍ഡോര്‍ നൽകിക്കൊണ്ടിരുന്നതു്. അതായത് ആക്രമണകാരിക്ക് ടാർഗെറ്റ് ചെയ്‌ത എൻഡ്‌പോയിന്റിന്റെ നിയന്ത്രണം പൂര്‍ണ്ണമായി ഏറ്റെടുക്കാനാകും. വെബ്‌മിൻ രചയിതാവ് ജാമി കാമറൂൺ പറയുന്നതു പ്രകാരം വെബ്മിന്‍ 1.890 പതിപ്പിലായിരുന്നു ബാക്‍ഡോറിന്റെ ആരംഭം. തുടര്‍ന്നു വന്ന പതിപ്പുകളായ 1.900, 1.920 എന്നിവയിലും ഇതേ ബാക്ക്‌ഡോർ ഉണ്ടായിരുന്നു. അതായതു് അതുവരെ ഈ കോഡുകള്‍ ഒരു ഡവലപ്പര്‍മാരും കണ്ടെത്തിയില്ല. “ഇവയൊന്നും ആകസ്മികമായ ബഗുകളല്ല – മറിച്ച്, കരുതിക്കൂട്ടി വ്യക്തമായ ലക്ഷ്യത്തോടെയാണു് വെബ്‌മിൻ ബാക്‍ഡോറിന്റെ കോഡ് ഉള്‍പ്പെടുത്തി അവര്‍ പരിഷ്‌ക്കരിച്ചതു്,” കാമറൂൺ അഭിപ്രായപ്പെടുന്നു.

കാമറൂൺ പറയുന്നതനുസരിച്ച്, വെബ്‌മിൻ ഡെവലപ്‌മെന്റ് ബിൽഡ് സെർവർ 2018 ഏപ്രിലിലാണു് കോംപ്രമൈസ് ചെയ്യപ്പെട്ടതു്. password_change.cgi സ്‌ക്രിപ്റ്റിലേക്ക് ഒരു വള്‍നറബിലിറ്റി ചേർക്കുമ്പോൾ ഫയൽ ബാക്ക്ഡേറ്റ് ചെയ്തുകൊണ്ട് അത് ഒരു ഗിറ്റ് ഹബ് ചെക്ക്-ഇൻ” കോഡിലേക്ക് പഴയപടിയാക്കിക്കൊണ്ടു് സൂക്ഷ്മപരിശോധനയിൽ നിന്ന് രക്ഷപ്പെടുന്ന രീതിയാണു് ഇവിടെ ഉപയോഗിക്കപ്പെട്ടതു്. തുടർന്ന് 2018 ജൂലൈയിൽ “password_change.cgi” സ്‌ക്രിപ്റ്റിന്റെ വള്‍നറബിള്‍ പതിപ്പിന് പിന്നിലുള്ള മലീഷ്യസ് ഡെവലപ്പര്‍ ഫയൽ വീണ്ടും അപ്‌ഡേറ്റുചെയ്‌തു. ഇതേ മാറ്റത്തോടുകൂടിത്തന്നെയാണു് വെബ്‌മിൻ 1.900 എന്ന പതിപ്പും പുറത്തിറങ്ങിയതു്. കാലഹരണപ്പെട്ട പാസ്‌വേഡുകൾ പുതുക്കിയാൽ മാത്രമേ ഇത് ബാധിക്കാതിരിക്കുകയുള്ളൂ.

വെബ്‍മിന്‍ ലോഗോ

DEF CON 2019-ല്‍ വച്ചു് ഈ vulnerabilty ഉപയോഗപ്പെടുത്തുന്ന ഒരു ബഗ്ഗ് ഒരു ഗവേഷകൻ പ്രസിദ്ധപ്പെടുത്തിയപ്പോഴാണു് ഈ മലീഷ്യസ്‍ കോഡിനെപ്പറ്റി ലോകമറിഞ്ഞതു്. ഈ ഗവേഷണമാണ് 2018 ജൂലൈയിൽ വീണ്ടും ഇംപ്ലാന്റ് ചെയ്ത മലീഷ്യസ് കോഡിലേക്ക് വെളിച്ചം വീശിയത്. “ഇതിനു പ്രതിവിധിയായി മലീഷ്യസ് കോഡ് നീക്കംചെയ്യുകയും വെബ്‌മിൻ പതിപ്പ് 1.930 എല്ലാ ഉപയോക്താക്കൾക്കുമായി പുറത്തിറക്കുകയും ചെയ്തു,” കാമറൂൺ എഴുതി.

ഇംപ്ലാന്റ് ചെയ്ത മലീഷ്യസ് കോഡിന് പ്രതിവിധിയായി വെബ്‌മിൻ പുതിയ ലഘൂകരണ ശ്രമങ്ങൾ സ്വീകരിക്കുമെന്ന് കാമറൂൺ പറഞ്ഞു. കൂടാതെ ഇതുപോലുള്ള പ്രശ്നങ്ങള്‍ വരുത്തിയേക്കാവുന്ന എന്തെങ്കിലും മലീഷ്യസ് കോഡുകള്‍ വെബ്മിന്‍ കോഡ്ബേസില്‍ ഇനിയും അവശേഷിക്കുന്നുണ്ടോ എന്നു് സൂക്ഷ്മപരിശോധന നടത്തുന്നതിനായി കഴിഞ്ഞ വർഷം നടന്നിട്ടുള്ള എല്ലാ ഗിറ്റ് ഹബ് ചെക്കിനുകളും ഓഡിറ്റുചെയ്യാനും തീരുമാനിച്ചിട്ടുണ്ടെന്നു് അദ്ദേഹം പറഞ്ഞു.

ഹാർട്ട്ബ്ലീഡ്

ഓപ്പൺ സോഴ്സ് ക്രിപ്റ്റോഗ്രാഫി ലൈബ്രറി ആയ ഓപ്പൺ എസ്.എസ്.എല്ലിലെ ഒരു സോഫ്റ്റ്‌വേർ ബഗ് ആണ് ഹാർട്ട്ബ്ലീഡ്. ഈ ബഗ് ദുരുപയോഗം ചെയ്ത് ഒരു ആക്രമണകാരിക്ക് വേണമെങ്കിൽ ഹോസ്റ്റ് കമ്പ്യൂട്ടറിലെ വിവരങ്ങൾ കാണാനും സ്വകാര്യമായതോ, പ്രശ്നകാരിയായതോ ആയ വിവരങ്ങൾ എടുക്കാനും സാധിക്കും. ഈ ബഗ്ഗ് പക്ഷേ മനഃപൂര്‍വ്വം പ്ലാന്റ് ചെയ്യപ്പെട്ടതല്ല, ആരംഭം മുതലേ ഡവലപ്പര്‍മാരുടേയും സുരക്ഷാ ഓഡിറ്റര്‍മാരുടേയും കണ്ണില്‍പെടാതെ പോയ ഒരു സുരക്ഷാ പഴുതു മാത്രമായിരുന്നു ഇതു്. പക്ഷേ, അമേരിക്കൻ ദേശീയ സുരക്ഷാ ഏജൻസിയ്ക്ക് ഈ ബഗ്ഗിനെപ്പറ്റി നേരത്തേതന്നെ അറിയാമായിരുന്നു എന്നും, അത് സ്വന്തം നിലയ്ക്ക് മുതലെടുക്കാൻ വേണ്ടി അവരത് സ്വകാര്യമായി വെയ്ക്കുകയായിരുന്നു എന്നും പറയപ്പെടുന്നുണ്ട്. വളരെ പ്രധാനപ്പെട്ട കമ്പ്യൂട്ടര്‍ സുരക്ഷാ ഓപ്പണ്‍ സോഴ്സ്  പ്രൊജക്ടുകളില്‍ ചാര ഏജന്‍സികള്‍ നുഴഞ്ഞുകയറി കോഡുകള്‍ പരിഷ്കരിക്കാനുള്ള സാധ്യതയെപ്പറ്റി ഒരു ക്രിപ്റ്റോപാര്‍ട്ടി മീറ്റിംഗില്‍ വച്ചു് അതില്‍ പങ്കെടുത്ത ഒരംഗം ഉച്ചത്തില്‍ സംസാരിച്ചതു് ഇവിടെ അനുസ്മരിക്കുന്നു. ഇനിയുമെത്രയോ മര്‍മ്മ പ്രധാന സുരക്ഷാ സംവിധാനങ്ങളില്‍ എത്രയോ സുരക്ഷാപഴുതുകള്‍ ഇനിയും കണ്ടെത്തപ്പെടാതെ മറഞ്ഞിരിക്കുന്നു? അധികമൊന്നും പ്രചാരത്തിലില്ലാത്ത അത്രയൊന്നും ആക്ടീവ് ഡവലപ്പ്മെന്റ് നടക്കാത്ത ചില സോഫ്റ്റ്‍വെയറുകളുടെ കാര്യത്തിലും ഇങ്ങനെയുള്ള ഇംപ്ലാന്റഡ് ബഗ്ഗുകള്‍ ഉണ്ടാകാനുള്ള സാധ്യതയും തള്ളിക്കളയാനാവില്ല.

അതിനാല്‍ ഒരൊറ്റ മന്ത്രം മാത്രം ഒന്നും സുരക്ഷിതമാവണമെന്നില്ല. ആ മന്ത്രം ചൊല്ലിക്കൊണ്ടുവേണം എത്ര സുരക്ഷിതമെന്നവകാശപ്പെടുന്ന എന്തും ഉപയോഗിക്കാന്‍ !

നിങ്ങളുടെ അഭിപ്രായം രേഖപ്പെടുത്തൂ

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  മാറ്റുക )

Google photo

You are commenting using your Google account. Log Out /  മാറ്റുക )

Twitter picture

You are commenting using your Twitter account. Log Out /  മാറ്റുക )

Facebook photo

You are commenting using your Facebook account. Log Out /  മാറ്റുക )