আইসব্লক আমার দুর্বলতার প্রতিবেদনটি সবচেয়ে খারাপ উপায়ে পরিচালনা করেছে

গত সপ্তাহে, আমি কীভাবে জোশুয়া অ্যারনের আইসব্লক অ্যাপটি লিখেছিলাম, যা লোকেরা বেনামে 5 মাইল ব্যাসার্ধের মধ্যে বরফের দৃশ্যের প্রতিবেদন করতে দেয়, এটি হ’ল-দুর্ভাগ্যক্রমে, এবং আপাত ভাল উদ্দেশ্য থাকা সত্ত্বেও-অ্যাক্টিভিজম থিয়েটার। এটি জোশুয়ার আলাপের আশার উপর ভিত্তি করে তৈরি হয়েছিল যেখানে তিনি স্পষ্ট করে দিয়েছিলেন যে তিনি স্থানীয় সম্প্রদায় গোষ্ঠীর পরামর্শ নিচ্ছেন না, যে বরফের দর্শনগুলি কোনওভাবেই যাচাই করা হয় না এবং সুরক্ষা এবং গোপনীয়তার ক্ষেত্রে তিনি কী করছেন তা তিনি জানেন না।

সেই পোস্টে, তাঁর “অত্যন্ত সুরক্ষিত” সার্ভার সম্পর্কে বিভাগে যা তিনি উল্লেখ করেছেন, আমি লিখেছি:

আরও বিশদ সরবরাহ না করে, আমি এটিও আবিষ্কার করেছি যে তার সার্ভারটি পরিচিত দুর্বলতার সাথে পুরানো সফ্টওয়্যার চালাচ্ছে।

আমি ইচ্ছাকৃতভাবে অস্পষ্ট ছিলাম কারণ আমি জানতাম যে লেখার সময় তার সার্ভারটি দুর্বল ছিল এবং আমি চাইনি যে এটি ঠিক করার সুযোগ পাওয়ার আগে কেউ এই দুর্বলতার একটিতে কাজে লাগায়।

আইসব্লক অ্যাপ স্টোর থেকে এক মিলিয়ন বার ডাউনলোড করা হয়েছে। আমি জানি না যে জোশুয়ার সার্ভার এই ব্যবহারকারীদের সাথে সম্পর্কিত ডেটা বা তাদের জমা দেওয়া প্রতিবেদনগুলি সংরক্ষণ করে কিনা, তবে এটি হতে পারে এবং তিনি অবশ্যই তার আশা আলোচনায় এটির সুরক্ষা সম্পর্কে দাম্ভিকতা করেছিলেন।

আমি এটি প্রকাশ করছি কারণ আইসব্লককে বিশ্বাস করা লোকদের পক্ষে এটি গুরুত্বপূর্ণ যে বিকাশকারী কম্পিউটার সুরক্ষা সম্পর্কে অযত্ন, এমনকি যখন লোকেরা বিশেষভাবে সুরক্ষার সমস্যাগুলি নির্দেশ করে এবং সেগুলি ঠিক করার জন্য তাকে সময় দেয়। আশা করি তার সার্ভারে কোনও ব্যবহারকারীর ডেটা নেই। আশা করি তিনি তাদের পক্ষে এটি সহজ করে তুলছেন তা সত্ত্বেও কেউ তার সার্ভার হ্যাক করবে না। এবং আশা করি এই ব্লগ পোস্টটি তাকে শেষ পর্যন্ত সমস্যাটি সমাধান করতে বাধ্য করবে।

জোশুয়া দুটি ব্লুস্কি অ্যাকাউন্ট চালায়: @আইসব্লক.এপআইসব্লক অ্যাপের অ্যাকাউন্ট, এবং @joshua.steingheather.comজোশুয়ার ব্যক্তিগত অ্যাকাউন্ট। তার ব্যক্তিগত অ্যাকাউন্টে ডিএমএস বন্ধ ছিল, তবে আইসব্লক অ্যাকাউন্টে ডিএমএস খোলা ছিল, তাই আমি তাকে সেখানে ডিএমএস প্রেরণ করেছি।

1 সেপ্টেম্বর, আমি লিখেছি:

আরে জোশুয়া, আমি এমন এক লোকদের মধ্যে যারা আপনার আশা নিয়ে কথা দেখেছেন এবং কিছু প্রশ্ন জিজ্ঞাসা করেছিলেন। আমি আপনাকে এমন একটি মাথা দিচ্ছি যে আমি অ্যাপটি সম্পর্কে একটি ব্লগ পোস্ট প্রকাশ করার জন্য প্রস্তুতি নিচ্ছি এবং আপনার কথা যা খুব চাটুকার নয়। তবে এছাড়াও, আমি আপনাকে লক্ষ্য করতে চেয়েছিলাম যে আপনি আপনার লিনোড সার্ভারে অ্যাপাচের একটি দুর্বল সংস্করণ চালাচ্ছেন। আমি এটি বিশেষভাবে উল্লেখ করছি না, তবে আপনার আপডেটগুলি ইনস্টল করা উচিত

আপনি অ্যাপাচি httpd 2.4.57 চালাচ্ছেন বলে মনে হচ্ছে। দেখুন আরও তথ্যের জন্য, তবে অ্যাপাচির এই সংস্করণে একাধিক সমালোচনামূলক সিভিই রয়েছে যা আপনার সার্ভারটি গ্রহণ করতে পারে। উদাহরণস্বরূপ, এই এক https://nvd.nist.gov/vuln/detail/cve-2024-38476

তারপরে, দেড় ঘন্টা পরে, আমি আমার ব্লগটি প্রকাশ করেছি এবং এটি সম্পর্কে আমার ব্লুজস্কি পোস্টটি প্রেরণ করেছি:

তিনি আমাকে ব্লক করা ব্যতীত @আইসব্লক.এপ অ্যাকাউন্ট থেকে সাড়া দেননি। (যা, সত্যই, খুব ন্যায্য নয়, যেহেতু আমি বরফ নই))

তবে তিনি আমাকে তাঁর @জোশুয়া.স্টিলিংহেদার ডটকম অ্যাকাউন্ট থেকে একটি ডিএম প্রেরণ করেছিলেন, বলেছেন:

আপনি যদি আমার এবং আইসব্লক সম্পর্কে মিথ্যা বলা বন্ধ করতে পারেন তবে এটি দুর্দান্ত হবে। আপনি সাহায্য করার জন্য কিছুই করছেন না। আপনি আমাকে, আমার ইতিহাস, আমার জ্ঞান বা আশায় শোনার চেয়ে আরও কিছু জানেন না।

প্রতিক্রিয়া জানাতে বিরক্ত করবেন না কারণ এটি আপনার সাথে আমার শেষ এবং একমাত্র যোগাযোগ হবে। আরও ভাল করুন।

যার জবাব আমি জবাব দিয়েছি:

আমার ব্লগ পোস্টে যদি আমি কোনও ভুল পেয়ে থাকি তবে দয়া করে আমাকে জানান এবং আমি একটি সংশোধন পোস্ট করতে পেরে খুশি হব

এখানে এক্সচেঞ্জের একটি স্ক্রিনশট রয়েছে।

কিছু দিন পরে, 3 সেপ্টেম্বর, আমি আবার চেক করার সিদ্ধান্ত নিয়েছি। তার সার্ভার ছিল তবুও অ্যাপাচি 2.4.57 চলমান, যার একাধিক দুর্বলতা রয়েছে। তিনি আমার প্রতিবেদনটিকে উপেক্ষা করেছেন এবং এটি ঠিক করেন নি।

এবং ঠিক তাই আপনি জানেন, এই সমস্যাটি ঠিক করা হচ্ছে অত্যন্ত সহজ। তার কেবল এসএসএইচ এবং এর মতো কিছু চালানো দরকার sudo apt update && sudo apt upgradeঅ্যাপাচি আপডেট হওয়া প্যাকেজটি ইনস্টল করার জন্য অপেক্ষা করুন এবং তার সার্ভারটি আর দুর্বল হবে না।

তিনি এটিকে গুরুত্ব সহকারে নিচ্ছেন না তা দেখে, আমি প্রকাশ্যে দুর্বলতা প্রকাশ করার আগে আমি তাকে তার সার্ভারটি প্যাচ করার একটি সময়সীমা দেওয়ার সিদ্ধান্ত নিয়েছি। আমি তার @জোশুয়া.স্টিলিংহেদার ডটকমকে এই বার্তাগুলি পাঠিয়েছি:

আরে জোশুয়া, আমি লক্ষ্য করেছি যে আপনি এখনও আপনার সার্ভারে অ্যাপাচি আপডেট করেন নি। আমি প্রকাশ করেছি যে আপনি অ্যাপাচি 2.4.57 চালাচ্ছেন, যা 1 সেপ্টেম্বর সমালোচনামূলক দুর্বলতাগুলি জানে। তবে আপনি অ্যাপাচি আপডেট না করা পর্যন্ত আপনার সার্ভারটি হ্যাক করা এবং এগুলি সমস্ত চুরি করা তুচ্ছ হতে পারে। সুতরাং, আপডেট ইনস্টল করুন।

আমি এটি সম্পর্কে লেখার আগে প্রথম প্রকাশ করার সময় থেকে আমি আপনাকে এক সপ্তাহ দিচ্ছি (সুতরাং, 8 সেপ্টেম্বর), যা আপনাকে কোনও প্যাকেজ আপডেট করার জন্য পর্যাপ্ত সময়ের চেয়ে বেশি সময় দেওয়া উচিত।

ঠিক তাই আপনি সচেতন, আমি এনএমএপির সংস্করণ সনাক্তকরণ বৈশিষ্ট্যটি ব্যবহার করে অ্যাপাচির সংস্করণটি নির্ধারণ করেছি। আপনি দৌড়াতে পারেন nmap -p443 -sV iceblock.app সংস্করণটি নিজেই পরীক্ষা করতে এবং এটি আপনাকে এটি দেখানো উচিত:

পোর্ট রাজ্য পরিষেবা সংস্করণ
443/টিসিপি ওপেন এসএসএল/এইচটিটিপি অ্যাপাচি এইচটিটিপিডি 2.4.57 ((ইউনিক্স) ওপেনএসএল/3.0.9)

অনুস্মারক হিসাবে, আপনি এখানে অ্যাপাচের এই সংস্করণটির জন্য পরিচিত দুর্বলতাগুলি খুঁজে পেতে পারেন:

এবং, যেমনটি আমি আপনাকে আগে দেখিয়েছি, ভল্নগুলির মধ্যে একটি হ’ল সিভিই -2024-38476, যা আপনি এখানে পড়তে পারেন: https://nvd.nist.gov/vuln/detail/cve-2024-38476। এটি একটি “সমালোচনামূলক” দুর্বলতা যা আপনার সার্ভারে স্ক্রিপ্টগুলি কার্যকর করতে সম্ভাব্যভাবে ব্যবহার করা যেতে পারে। দয়া করে আমার কাছে ফিরে আসুন।

সে আমার কাছে ফিরে পেল না। এবং দেড় ঘন্টা পরে, তিনি আমাকেও এই অ্যাকাউন্ট থেকে অবরুদ্ধ করেছিলেন।

এটি এখন এক সপ্তাহ হয়ে গেছে, এবং আমি আবার চেক করেছি: জোশুয়ার “অত্যন্ত সুরক্ষিত” সার্ভারটি এখনও একাধিক পরিচিত সমালোচনামূলক দুর্বলতা সহ অ্যাপাচের একটি সংস্করণ চালাচ্ছেন। এমনকি সমস্যাটি সমাধান করার জন্য প্রচুর সময় সহ, তিনি এখনও করেননি।

আমি আশা করি তিনি সেখানে কোনও আইসব্লক সম্পর্কিত ডেটা সংরক্ষণ করছেন না।