Tech

जावा क्रिप्टो बग से पीड़ित है जो हमलावरों को डिजिटल हस्ताक्षरों को बायपास करने की अनुमति दे सकता है, ओरेकल रिलीज फिक्स


जावा संस्करण 15 और इसके बाद के संस्करण में इसके एलिप्टिक कर्व डिजिटल सिग्नेचर एल्गोरिथम (ECDSA) के कार्यान्वयन में एक दोष है, जो साइबर अपराधियों द्वारा कुछ प्रकार के सिक्योर सॉकेट लेयर (एसएसएल) प्रमाणपत्रों, हस्ताक्षरित JSON वेब टोकन (JWTs) को जाली बनाकर डिजिटल रूप से फाइलों पर हस्ताक्षर करने के लिए शोषण कर सकता है। , और यहां तक ​​कि दो-कारक प्रमाणीकरण संदेश भी। इस मुद्दे को पहली बार पिछले साल खोजा गया था और ओरेकल को इसकी सूचना दी गई थी, जिसने अंततः इसे पिछले सप्ताह पैच कर दिया था। हालांकि, चूंकि संगठनों को नवीनतम रिलीज के साथ अपने सिस्टम को अपडेट करने में समय लगता है, इसलिए कोई भी उपकरण जो डिजिटल रूप से हस्ताक्षरित डेटा का उपभोग करने के लिए प्रभावित जावा संस्करणों का उपयोग करता है, जोखिम में हो सकता है।

Oracle ने इस मुद्दे को सुलझाया, जिसे समुदाय के बीच एक गलती भी कहा जाता है, जैसे a 500 से अधिक सुधारों का हिस्सा. भेद्यता है के रूप में ट्रैक किया गया सीवीई-2022-21449।

सुरक्षा परामर्श फर्म फोर्जरॉक के शोधकर्ता नील मैडेन ने सुरक्षा खामियों का पता लगाया और इसकी सूचना दी आकाशवाणी नवंबर में निजी तौर पर। हालांकि सॉफ्टवेयर कंपनी ने इस मुद्दे को 10 में से 7.5 की गंभीरता रेटिंग दी है, लेकिन फोर्जरॉक सहित विशेषज्ञ इसे एक दोष मान रहे हैं। 10 . की गंभीरता रेटिंग – “विभिन्न कार्यक्षमता पर प्रभावों की विस्तृत श्रृंखला के कारण” जो एक बड़ा प्रभाव ला सकता है।

“यदि आप कमजोर संस्करणों में से एक चला रहे हैं तो एक हमलावर आसानी से कुछ प्रकार के एसएसएल प्रमाणपत्र और हैंडशेक (संचार के अवरोधन और संशोधन की इजाजत देता है), हस्ताक्षरित जेडब्ल्यूटी, एसएएमएल दावे या ओआईडीसी आईडी टोकन, और यहां तक ​​​​कि WebAuthn प्रमाणीकरण संदेश भी बना सकता है। सभी का उपयोग करना कागज के एक खाली टुकड़े के डिजिटल समकक्ष,” मैडेन लिखा एक ब्लॉग पोस्ट में।

साइबर क्रिमिनल्स और हैकर्स दोष का उपयोग किसी दुर्भावनापूर्ण ऐप या फ़ाइल पर डिजिटल रूप से हस्ताक्षर करने के लिए कर सकते हैं, जिसका अंतिम उपभोक्ताओं के लिए अलग-अलग प्रभाव हो सकते हैं। यह हमलावरों को अंततः सिस्टम तक पिछले दरवाजे तक पहुंच प्राप्त करने या फाइलों और डेटा का उपयोग करके नेटवर्क को हैक करने की अनुमति दे सकता है जो प्रामाणिक और भरोसेमंद दिखता है।

जावा ईसीडीएसए का उपयोग करता है जो अण्डाकार वक्र क्रिप्टोग्राफी के सिद्धांतों पर आधारित है – प्रमुख समझौते और डिजिटल हस्ताक्षर को सक्षम करने के लिए एक ज्ञात और व्यापक रूप से अपनाया गया दृष्टिकोण। शोधकर्ता ने पाया कि बग को मूल सी ++ से जावा में अंडाकार वक्र क्रिप्टोग्राफी के पुनर्लेखन द्वारा पेश किया गया था, जो जावा 15 के रिलीज के साथ हुआ था।

अण्डाकार वक्र क्रिप्टोग्राफी पर आधारित डिजिटल हस्ताक्षर के लिए आमतौर पर उपयोगकर्ताओं को प्राप्तकर्ताओं को यह साबित करने की आवश्यकता होती है कि उनके पास सार्वजनिक कुंजी के अनुरूप निजी कुंजी तक पहुंच है। यह प्रमाणीकरण को सत्यापित करने में मदद करता है और उपयोगकर्ताओं को डेटा तक पहुंच प्राप्त करने की अनुमति देता है। यह उन उपयोगकर्ताओं को हैंडशेक के लिए डिजिटल हस्ताक्षर प्रस्तुत करने से भी प्रतिबंधित करता है जिनके पास प्रासंगिक निजी कुंजी तक पहुंच नहीं है।

हालाँकि, दोष का उपयोग करते हुए, एक हमलावर एक रिक्त हस्ताक्षर का उपयोग कर सकता है जिसे किसी भी सार्वजनिक कुंजी के विरुद्ध सिस्टम द्वारा मान्य और सत्यापित माना जा सकता है।

मैडेन इन हस्ताक्षरों को “मानसिक पेपर” के समान कहते हैं – साजिश उपकरण जो लंबे समय से चल रहे विज्ञान-फाई पर दिखाई देता है डॉक्टर कौन. यह अनिवार्य रूप से एक पूरी तरह से कोरा कागज था, लेकिन एक सुरक्षा पास, वारंट, या एक सबूत के रूप में काम करने के लिए डिज़ाइन किया गया था जो इस आधार पर है कि नायक दूसरों को क्या देखना चाहता है।

“एक ECDSA हस्ताक्षर में दो मान होते हैं, जिन्हें r और s कहा जाता है,” शोधकर्ता ने दोष की व्याख्या करते हुए कहा। “एक ECDSA हस्ताक्षर को सत्यापित करने के लिए, सत्यापनकर्ता r, s, हस्ताक्षरकर्ता की सार्वजनिक कुंजी और संदेश के हैश वाले समीकरण की जाँच करता है। यदि समीकरण के दोनों पक्ष समान हैं तो हस्ताक्षर मान्य है, अन्यथा इसे अस्वीकार कर दिया जाता है।”

प्रक्रिया में एक शर्त शामिल है कि गणना में आर और एस शून्य नहीं होना चाहिए। हालाँकि, यह जावा के सत्यापन के कार्यान्वयन के मामले में नहीं है।

“जावा के ईसीडीएसए हस्ताक्षर सत्यापन के कार्यान्वयन ने जांच नहीं की कि क्या आर या एस शून्य थे, इसलिए आप एक हस्ताक्षर मूल्य उत्पन्न कर सकते हैं जिसमें वे दोनों 0 (उचित रूप से एन्कोडेड) हैं और जावा इसे किसी भी संदेश और किसी भी संदेश के लिए वैध हस्ताक्षर के रूप में स्वीकार करेगा। सार्वजनिक कुंजी,” मैडेन ने कहा।

मैडेन द्वारा उजागर की गई गंभीरता को प्रतिध्वनित करते हुए, सुरक्षा विशेषज्ञ थॉमस पटासेक कहा यह मुद्दा “वर्ष का क्रिप्टो बग” है।

डेटा सुरक्षा फर्म सोफोस एक ब्लॉग पोस्ट में भी बताया कि बग सिर्फ जावा सर्वर को प्रभावित नहीं कर रहा है जो क्लाइंट सॉफ्टवेयर के साथ इंटरैक्ट कर रहे हैं।

“कोई भी उपकरण जो आपके नेटवर्क के अंदर डिजिटल रूप से हस्ताक्षरित डेटा का उपभोग करता है, जोखिम में हो सकता है,” यह कहा।

प्रभावित जावा संस्करण – जावा 15 से 18 – शुक्र है कि इसके पिछले रिलीज के रूप में व्यापक रूप से उपयोग नहीं किया गया है। फरवरी से मार्च 2021 के बीच किए गए एक सर्वे के आंकड़ों के मुताबिक साइबर सिक्योरिटी फर्म Snyk कहा जावा 11 में कुल तैनाती का 61 प्रतिशत से अधिक हिस्सा था, जबकि जावा 15 की हिस्सेदारी 12 प्रतिशत थी।

फिर भी, आईटी प्रशासकों और संगठनों को सलाह दी जाती है कि वे भविष्य में किसी भी हमले की घटनाओं से बचने के लिए अपने जावा संस्करण को जल्दी से अपडेट करें।






Source link

Related Articles

Leave a Reply

Your email address will not be published.

Back to top button