লগ৪জে দুর্বলতা নিয়ে সর্বোচ্চ সতর্কতার ডাক দেয়ার পর যুক্তরাষ্ট্রের ‘সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) জানিয়েছে, যতটা গুরুতর বলে আশঙ্কা করা হচ্ছিল, তেমন গুরুতর কোনো সাইবার আক্রমণের ঘটনা ঘটেনি এখনও। মার্কিন সরকারি সংস্থার বিপরীতমুখী ঘোষণার পর লগ৪জে সিস্টেমের দুর্বলতা নিয়ে ‘সর্বোচ্চ নিরাপত্তা সতর্কতার’ ডাক দিয়েছে বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম।

ইন্টারনেট রাউটারের মতো ভোক্তা পণ্যগুলো লগ৪জে ঝুঁকির ভুক্তভোগী হতে পারে বলে আশঙ্কার কথা জানিয়েছেন। এই ঝুঁকি মোকাবেলার লক্ষ্যে যুক্তরাষ্ট্রের ‘ডিপার্টমেন্ট অব হোমল্যান্ড সিকিউরিটি’র কর্মীরা কাজ করছে।

মূল দুর্বলতা লগ-ইন টুল লগ৪জে-তে উপস্থিত হলেও এটি ওপেন-সোর্স সফটওয়্যার হওয়ায় হ্যাকিংয়ের ঝুঁকিতে পড়েছে অন্তত কয়েক শ’ প্রোগ্রাম। হ্যাকারদের জন্য দুর্বলতাটির সুযোগ নেয়া সহজ কাজ বলে উল্লেখ করেছেন গোল্ডস্টাইন।
রয়টার্স জানিয়েছে, লগ৪জে দুর্বলতা মোকাবেলার জন্য একটি প্যাচ উন্মুক্ত করা হয়েছে ৬ ডিসেম্বরেই। কিন্তু সাইবার অক্রমণকারীরা যেন নেটওয়ার্কে প্রবেশাধিকার না পায়, সেটা নিশ্চিত করতে অন্যান্য প্রোগ্রামগুলোকেও ওই প্যাচটির প্রয়োগ নিশ্চিত করতে হবে।

ইতোমধ্যে সব মার্কিন সংস্থাকে ওই প্যাচ ইনস্টল করিয়েছে সিআইএসএ। গোল্ডস্টাইন বলছেন, অন্তত মার্কিন সরকারের কোনো কম্পিউটার ব্যবস্থায় ওই সাইবার দুর্বলতার সুযোগ নিয়ে হ্যাকিংয়ের খবর জানা নেই সাআইএসএ এর।

লগ৪জে দুর্বলতার সুযোগ নিয়ে সার্ভারের নিয়ন্ত্রণ দখল করে নেয়া সম্ভব হ্যাকারদের জন্য। আরো গুরুত্বপূর্ণ তথ্য জমা রাখা হয়েছে এমন কম্পিউটার বা নেটওয়ার্কে ওই সার্ভার থেকে প্রবেশাধিকার থাকলে, বেহাত হয়ে যেতে পারে ওই ডেটাও।
লগ৪জে টুলে ওই দুর্বলতাটির উপস্থিতি বেশ কয়েক বছরের হলেও সম্প্রতি এটি আবিষ্কার করেছেন চীনা টেক জায়ান্ট আলিবাবার এক গবেষক।

বাংলাদেশ সরকারের ডিজিটাল নিরাপত্তা সংস্থা (বিজিডি ই-গভ সার্ট)-এর সাইবার সেন্সর ইউনিটের নিয়মিত পর্যবেক্ষণে অ্যাপাচি লগ৪জে সফটওয়্যার লাইব্রেরি সংস্করণ ২.০ বেটা ৯ থেকে ২.১৪.১ পর্যন্ত রিমোট কোড এক্সিকিউশন নিরাপত্তা ত্রুটি ‘সিভিই-২০২১-৪৪২২৮’ চিহ্নিত হয়েছে বলে জানিয়েছেন বিজিডি ই-গভ সার্ট-এর প্রকল্প পরিচালক তারেক এম বরকত উল্লাহ।

লগ৪জে বিভিন্ন ধরনের ভোক্তা এবং এন্টারপ্রাইজ পরিষেবা, ওয়েবসাইট এবং অ্যাপ্লিকেশনের পাশাপাশি অপারেশনাল প্রযুক্তি পণ্যগুলোতে ব্যাপকভাবে ব্যবহৃত হয়।
এই নিরাপত্তা ত্রুটি সংক্রান্ত ক্ষতির তীব্রতা নিরূপণের জন্য বিজিডি ই-গভ সার্টের ল্যাবে সিভিই-২০২১-৪৪২২৮/লগ৪জের পরীক্ষা করা হয়েছে এবং এই ত্রুটির সুযোগ নিয়ে ‘সিস্টেমের নিয়ন্ত্রণ নেয়া সম্ভব’ বলে সংস্থাটি নিশ্চিত হওয়ার কথা জানিয়েছে।

এটি একটি ক্রিটিক্যাল ভালনেরাবিলিটি হিসেবে চিহ্নিত হয়েছে যার সিভিএসএস স্কোর ১০ এর মধ্যে ১০ যা সর্বোচ্চ ঝুঁকিপূর্ণ।

এই ত্রুটিযুক্ত অ্যাপ্লিকেশনের সুযোগে সিস্টেমের নিয়ন্ত্রণ নিয়ে প্রতিষ্ঠানের স্বাভাবিক কার্যক্রম ব্যাপকভাবে ব্যাহত করার পাশাপাশি গুরুত্বপূর্ণ তথ্যকে সম্পূর্ণ এনক্রিপ্ট করে ফেলা সম্ভব বলে উল্লেখ রয়েছে ওই মেইলে।
সম্ভাব্য এই ধরনের সাইবার আক্রমণ চিহ্নিত এবং প্রতিহত করতে শক্তিশালী ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ইনস্টল ও অটো-আপডেট চালু রাখা। ডেটার নিরাপদ ব্যাকআপ নিশ্চিত করা।