WebRTC ਸਕਿਮਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਉੱਨਤ ਭੁਗਤਾਨ ਸਕਿਮਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ WebRTC ਡੇਟਾਚੈਨਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਚੋਰੀ-ਛਿਪੇ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਦਾ ਹੈ। ਰਵਾਇਤੀ ਸਕਿਮਰਾਂ ਦੇ ਉਲਟ ਜੋ HTTP ਬੇਨਤੀਆਂ ਜਾਂ ਚਿੱਤਰ ਬੀਕਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਇਹ ਰੂਪ ਰਵਾਇਤੀ ਵੈੱਬ ਟ੍ਰੈਫਿਕ ਪੈਟਰਨਾਂ ਤੋਂ ਬਾਹਰ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਖੋਜ ਦੇ ਯਤਨਾਂ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।

ਸ਼ੋਸ਼ਣ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ: ਪੌਲੀਸ਼ੈੱਲ ਕਮਜ਼ੋਰੀ

ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਪੋਲੀਸ਼ੈਲ ਦੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਸ਼ੁਰੂ ਹੋਈ, ਜੋ ਕਿ ਮੈਜੈਂਟੋ ਓਪਨ ਸੋਰਸ ਅਤੇ ਅਡੋਬ ਕਾਮਰਸ ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰੀ ਸੀ। ਇਹ ਨੁਕਸ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰਾਂ ਨੂੰ REST API ਰਾਹੀਂ ਮਨਮਾਨੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਅੰਤ ਵਿੱਚ ਪੂਰਾ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੁੰਦਾ ਹੈ।

19 ਮਾਰਚ, 2026 ਤੋਂ, ਕਮਜ਼ੋਰੀ ਦਾ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ। 50 ਤੋਂ ਵੱਧ IP ਪਤਿਆਂ ਨੂੰ ਸਕੈਨਿੰਗ ਓਪਰੇਸ਼ਨ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਲਗਭਗ 56.7% ਕਮਜ਼ੋਰ ਔਨਲਾਈਨ ਸਟੋਰਾਂ ਵਿੱਚ ਪੋਲੀਸ਼ੈਲ ਨਾਲ ਸਬੰਧਤ ਸਮਝੌਤਾ ਖੋਜਿਆ ਹੈ।

ਅਟੈਕ ਮਕੈਨਿਕਸ: ਇੱਕ ਸਟੀਲਥ ਚੈਨਲ ਦੇ ਰੂਪ ਵਿੱਚ WebRTC

ਇਹ ਸਕਿਮਰ ਇੱਕ ਸਵੈ-ਕਾਰਜਕਾਰੀ ਸਕ੍ਰਿਪਟ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਇਹ UDP ਪੋਰਟ 3479 ਰਾਹੀਂ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ IP ਐਡਰੈੱਸ (202.181.177.177) ਨਾਲ ਇੱਕ WebRTC ਪੀਅਰ ਕਨੈਕਸ਼ਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਸ ਚੈਨਲ ਰਾਹੀਂ, ਇਹ ਵਾਧੂ ਖਤਰਨਾਕ JavaScript ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਜਿਸਨੂੰ ਭੁਗਤਾਨ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਸਿੱਧੇ ਵੈੱਬ ਪੇਜ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਇਸ ਤਕਨੀਕ ਦੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਵਾਇਤੀ HTTP-ਅਧਾਰਿਤ ਸੰਚਾਰ ਦੀ ਬਜਾਏ WebRTC ਡਾਟਾ ਚੈਨਲਾਂ ਦੀ ਵਰਤੋਂ
• ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਗਤੀਸ਼ੀਲ ਪ੍ਰਾਪਤੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਭੁਗਤਾਨ ਜਾਣਕਾਰੀ ਨੂੰ ਸੰਭਾਲਣ ਵਾਲੇ ਵੈੱਬ ਪੰਨਿਆਂ ਵਿੱਚ ਸਿੱਧਾ ਟੀਕਾ ਲਗਾਉਣਾ

ਸੁਰੱਖਿਆ ਚੋਰੀ: ਰਵਾਇਤੀ ਬਚਾਅ ਪੱਖਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ

ਇਹ ਪਹੁੰਚ ਸਕਿਮਿੰਗ ਤਕਨੀਕਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਰੱਕੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿਉਂਕਿ ਇਸਦੀ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਤਾਇਨਾਤ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਚਣ ਦੀ ਯੋਗਤਾ ਹੈ। ਸਮੱਗਰੀ ਸੁਰੱਖਿਆ ਨੀਤੀ (CSP), ਜੋ ਅਕਸਰ ਅਣਅਧਿਕਾਰਤ ਆਊਟਬਾਊਂਡ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ ਨਿਰਭਰ ਕਰਦੀ ਹੈ, ਇਸ ਖਤਰੇ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਘੱਟ ਨਹੀਂ ਕਰਦੀ।

ਸਖ਼ਤ CSP ਸੰਰਚਨਾਵਾਂ ਵਾਲੇ ਵਾਤਾਵਰਣ ਵੀ ਜੋ ਸਾਰੇ ਅਣਅਧਿਕਾਰਤ HTTP ਟ੍ਰੈਫਿਕ ਨੂੰ ਬਲੌਕ ਕਰਦੇ ਹਨ, ਕਮਜ਼ੋਰ ਰਹਿੰਦੇ ਹਨ। WebRTC ਟ੍ਰੈਫਿਕ HTTP ਦੀ ਬਜਾਏ DTLS-ਇਨਕ੍ਰਿਪਟਡ UDP 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ ਬਹੁਤ ਸਾਰੇ ਨੈੱਟਵਰਕ ਨਿਗਰਾਨੀ ਅਤੇ ਨਿਰੀਖਣ ਸਾਧਨਾਂ ਲਈ ਅਦਿੱਖ ਬਣਾਉਂਦਾ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, ਐਕਸਫਿਲਟਰੇਟਿਡ ਭੁਗਤਾਨ ਡੇਟਾ ਖੋਜ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਾਈਪਾਸ ਕਰ ਸਕਦਾ ਹੈ।

ਪੈਚ ਦੀ ਉਪਲਬਧਤਾ ਅਤੇ ਰੱਖਿਆਤਮਕ ਉਪਾਅ

ਅਡੋਬ ਨੇ 10 ਮਾਰਚ, 2026 ਨੂੰ ਜਾਰੀ ਕੀਤੇ ਗਏ ਵਰਜਨ 2.4.9-ਬੀਟਾ1 ਵਿੱਚ ਪੋਲੀਸ਼ੈਲ ਕਮਜ਼ੋਰੀ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ। ਸ਼ੋਸ਼ਣ ਨੂੰ ਰੋਕਣ ਲਈ ਤੁਰੰਤ ਪੈਚਿੰਗ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ।

ਐਕਸਪੋਜਰ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਸੰਭਾਵੀ ਸਮਝੌਤਾ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਹੇਠ ਲਿਖੇ ਉਪਾਅ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਸਿਫਾਰਸ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ:

pub/media/custom_options/ ਡਾਇਰੈਕਟਰੀ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਵੈੱਬ ਸ਼ੈੱਲਾਂ, ਬੈਕਡੋਰਾਂ ਅਤੇ ਹੋਰ ਖਤਰਨਾਕ ਕਲਾਕ੍ਰਿਤੀਆਂ ਲਈ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਕੈਨ ਕਰੋ।

ਈ-ਕਾਮਰਸ ਸੁਰੱਖਿਆ ਲਈ ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ

WebRTC-ਅਧਾਰਿਤ ਸਕਿਮਿੰਗ ਦਾ ਉਭਾਰ ਵਧੇਰੇ ਸੂਝਵਾਨ, ਪ੍ਰੋਟੋਕੋਲ-ਪੱਧਰ ਦੀ ਚੋਰੀ ਤਕਨੀਕਾਂ ਵੱਲ ਇੱਕ ਤਬਦੀਲੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਈ-ਕਾਮਰਸ ਪਲੇਟਫਾਰਮਾਂ ਦਾ ਸੰਚਾਲਨ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ HTTP-ਕੇਂਦ੍ਰਿਤ ਨਿਗਰਾਨੀ ਤੋਂ ਪਰੇ ਆਪਣੀਆਂ ਰੱਖਿਆਤਮਕ ਰਣਨੀਤੀਆਂ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖਤਰਿਆਂ ਦਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਗੈਰ-ਰਵਾਇਤੀ ਸੰਚਾਰ ਚੈਨਲਾਂ ਦੀ ਡੂੰਘੀ ਜਾਂਚ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।