மைக்ரோசாப்ட் மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்சில் ஒரு முக்கியமான பாதிப்பின் செயல்பாட்டுக் கொள்கையை நிரூபிக்கும் முன்மாதிரி சுரண்டலுடன் குறியீட்டை (நகல்) GitHub இலிருந்து நீக்கியுள்ளது. இந்த நடவடிக்கை பல பாதுகாப்பு ஆராய்ச்சியாளர்களிடையே சீற்றத்தை ஏற்படுத்தியது, ஏனெனில் சுரண்டலின் முன்மாதிரி பேட்ச் வெளியான பிறகு வெளியிடப்பட்டது, இது பொதுவான நடைமுறையாகும்.
GitHub விதிகளில் செயலில் உள்ள தீங்கிழைக்கும் குறியீடு அல்லது சுரண்டல்களை (அதாவது, பயனர் அமைப்புகளைத் தாக்கும்) களஞ்சியங்களில் வைப்பதைத் தடுக்கும் ஒரு விதி உள்ளது, அத்துடன் தாக்குதல்களின் போது சுரண்டல்கள் மற்றும் தீங்கிழைக்கும் குறியீட்டை வழங்குவதற்கான தளமாக GitHub ஐப் பயன்படுத்துகிறது. ஆனால் விற்பனையாளர் ஒரு பேட்சை வெளியிட்ட பிறகு தாக்குதல் முறைகளை பகுப்பாய்வு செய்வதற்காக வெளியிடப்பட்ட ஆராய்ச்சியாளர் ஹோஸ்ட் செய்யப்பட்ட குறியீடு முன்மாதிரிகளுக்கு இந்த விதி முன்பு பயன்படுத்தப்படவில்லை.
அத்தகைய குறியீடு பொதுவாக அகற்றப்படாது என்பதால், GitHub இன் செயல்கள் மைக்ரோசாப்ட் அதன் தயாரிப்பில் உள்ள பாதிப்பு பற்றிய தகவல்களைத் தடுக்க நிர்வாக ஆதாரங்களைப் பயன்படுத்துவதாக உணரப்பட்டது. மைக்ரோசாப்ட் இரட்டைத் தரம் மற்றும் பாதுகாப்பு ஆராய்ச்சி சமூகத்திற்கு அதிக ஆர்வமுள்ள உள்ளடக்கத்தை தணிக்கை செய்ததாக விமர்சகர்கள் குற்றம் சாட்டியுள்ளனர், ஏனெனில் உள்ளடக்கம் மைக்ரோசாப்டின் நலன்களுக்கு தீங்கு விளைவிக்கும். கூகுள் ப்ராஜெக்ட் ஜீரோ குழுவின் உறுப்பினரின் கூற்றுப்படி, சுரண்டல் முன்மாதிரிகளை வெளியிடும் நடைமுறை நியாயமானது மற்றும் பலன் ஆபத்தை விட அதிகமாக உள்ளது, ஏனெனில் இந்த தகவல் தாக்குபவர்களின் கைகளில் இல்லாமல் மற்ற நிபுணர்களுடன் ஆராய்ச்சி முடிவுகளைப் பகிர்ந்து கொள்ள வழி இல்லை.
கிரிப்டோஸ் லாஜிக்கின் ஒரு ஆராய்ச்சியாளர் எதிர்க்க முயன்றார், நெட்வொர்க்கில் இன்னும் 50 ஆயிரத்துக்கும் மேற்பட்ட புதுப்பிக்கப்படாத மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சேவையகங்கள் இருக்கும் சூழ்நிலையில், தாக்குதல்களுக்குத் தயாராக இருக்கும் சுரண்டல் முன்மாதிரிகளை வெளியிடுவது சந்தேகத்திற்குரியதாகத் தெரிகிறது. சுரண்டல்களை முன்கூட்டியே வெளியிடுவது பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கு ஏற்படும் நன்மையை விட அதிகமாகும், ஏனெனில் இதுபோன்ற சுரண்டல்கள் இன்னும் புதுப்பிக்கப்படாத ஏராளமான சேவையகங்களை வெளிப்படுத்துகின்றன.
GitHub பிரதிநிதிகள் அகற்றுவது சேவையின் ஏற்றுக்கொள்ளக்கூடிய பயன்பாட்டுக் கொள்கைகளை மீறுவதாகக் கருத்துத் தெரிவித்தனர், மேலும் ஆராய்ச்சி மற்றும் கல்வி நோக்கங்களுக்காக சுரண்டல் முன்மாதிரிகளை வெளியிடுவதன் முக்கியத்துவத்தை அவர்கள் புரிந்து கொண்டதாகவும், ஆனால் தாக்குபவர்களின் கைகளில் அவை ஏற்படுத்தும் சேதத்தின் ஆபத்தையும் அங்கீகரிப்பதாகவும் தெரிவித்தனர். எனவே, GitHub பாதுகாப்பு ஆராய்ச்சி சமூகத்தின் நலன்களுக்கும் சாத்தியமான பாதிக்கப்பட்டவர்களின் பாதுகாப்பிற்கும் இடையே உகந்த சமநிலையைக் கண்டறிய முயற்சிக்கிறது. இந்த வழக்கில், தாக்குதல்களை நடத்துவதற்கு ஏற்ற ஒரு சுரண்டலை வெளியிடுவது, இன்னும் புதுப்பிக்கப்படாத ஏராளமான அமைப்புகள் இருந்தால், GitHub விதிகளை மீறுவதாகக் கருதப்படுகிறது.
பாதிப்பு (0-நாள்) இருப்பதைப் பற்றிய தகவல்களை சரிசெய்து வெளியிடுவதற்கு நீண்ட காலத்திற்கு முன்பே, ஜனவரி மாதத்தில் தாக்குதல்கள் தொடங்கியது என்பது குறிப்பிடத்தக்கது. சுரண்டல் முன்மாதிரி வெளியிடப்படுவதற்கு முன்பு, சுமார் 100 ஆயிரம் சேவையகங்கள் ஏற்கனவே தாக்கப்பட்டன, அதில் ரிமோட் கண்ட்ரோலுக்கான பின்கதவு நிறுவப்பட்டது.
ஒரு ரிமோட் GitHub சுரண்டல் முன்மாதிரி CVE-2021-26855 (ProxyLogon) பாதிப்பை நிரூபித்தது, இது ஒரு தன்னிச்சையான பயனரின் தரவை அங்கீகாரம் இல்லாமல் பிரித்தெடுக்க அனுமதிக்கிறது. CVE-2021-27065 உடன் இணைந்தால், பாதிப்பானது நிர்வாகி உரிமைகளுடன் சேவையகத்தில் குறியீட்டை இயக்க அனுமதித்தது.
அனைத்து சுரண்டல்களும் அகற்றப்படவில்லை; எடுத்துக்காட்டாக, GreyOrder குழுவால் உருவாக்கப்பட்ட மற்றொரு சுரண்டலின் எளிமைப்படுத்தப்பட்ட பதிப்பு இன்னும் GitHub இல் உள்ளது. மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்சைப் பயன்படுத்தும் நிறுவனங்களின் மீது பெருமளவிலான தாக்குதல்களை மேற்கொள்ள, அஞ்சல் சேவையகத்தில் உள்ள பயனர்களைக் கணக்கிட, குறியீட்டில் கூடுதல் செயல்பாடு சேர்க்கப்பட்ட பிறகு அசல் GreyOrder சுரண்டல் அகற்றப்பட்டது என்று சுரண்டல் குறிப்பு கூறுகிறது.
ஆதாரம்: opennet.ru