वल्नरेबिलिटी सॉफ्टवेयर कोड, सिस्टम कॉन्फ़िगरेशन, या ऑपरेशनल प्रोसेस में एक कमज़ोरी या कमी है जिसका फ़ायदा कोई थ्रेट एक्टर बिना इजाज़त एक्सेस पाने, सर्विस में रुकावट डालने, या सेंसिटिव डेटा निकालने के लिए उठा सकता है। वल्नरेबिलिटी सीधे तौर पर किसी इन्फॉर्मेशन सिस्टम की कॉन्फिडेंशियलिटी, इंटीग्रिटी, या अवेलेबिलिटी (CIA) पर असर डालती हैं।
सिक्योरिटी में कमज़ोरियों के सबसे आम प्रकार
नीचे कुछ सबसे आम तरह की कमज़ोरियाँ दी गई हैं जो एंटरप्राइज़ और छोटे से मीडियम साइज़ के बिज़नेस एनवायरनमेंट में पाई जाती हैं।
- बिना पैच वाले सॉफ़्टवेयर बग, जैसे CVE-2025-22457, Ivanti Connect Secure VPN अप्लायंस में एक ज़रूरी रिमोट कोड एग्ज़िक्यूशन में कमी जिसका एडवांस्ड थ्रेट एक्टर्स एक्टिवली फ़ायदा उठाते हैं।
- गलत तरीके से कॉन्फ़िगर की गई क्लाउड सर्विस, जैसे ओपन Amazon S3 बकेट, बिना रोक-टोक वाला Azure Blob स्टोरेज, या बिना सुरक्षा वाले पब्लिक API जो अनजाने में सेंसिटिव डेटा को एक्सपोज़ कर देते हैं।
- कमज़ोर एक्सेस कंट्रोल, जिसमें डिफ़ॉल्ट क्रेडेंशियल, डिसेबल या गायब मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA), और बहुत ज़्यादा परमिसिव IAM रोल या एक्टिव डायरेक्टरी ग्रुप पॉलिसी शामिल हैं।
- क्रेडेंशियल एक्सपोज़र, जैसे कि Kerberoastable सर्विस अकाउंट जो कमज़ोर या अंदाज़ा लगाने लायक पासवर्ड का इस्तेमाल करते हैं, जिन्हें लेटरल मूवमेंट या प्रिविलेज एस्केलेशन पाने के लिए ऑफ़लाइन क्रैक किया जा सकता है।
- अनसेफ कम्युनिकेशन प्रोटोकॉल, जैसे अनएन्क्रिप्टेड HTTP, एक्सपायर हो चुके TLS सर्टिफिकेट, या पुराने SSL वर्शन का इस्तेमाल, जो ट्रांज़िट में डेटा को इंटरसेप्ट या छेड़छाड़ करने देते हैं।
- इनसिक्योर सॉफ्टवेयर कॉन्फ़िगरेशन, जैसे वेब सर्वर पर इनेबल डायरेक्टरी लिस्टिंग, एक्सपोज़्ड एडमिन पैनल, या इनपुट सैनिटाइजेशन की कमी जिससे इंजेक्शन अटैक होते हैं।
सभी वल्नरेबिलिटीज़ का एक्टिव रूप से फायदा नहीं उठाया जाता, लेकिन हर साइबर अटैक इनमें से एक या ज़्यादा वल्नरेबिलिटीज़ से शुरू होता है। वल्नरेबिलिटीज़ की पहचान करना सिर्फ़ पहला कदम है। यह पता लगाना कि क्या वे आपके एनवायरनमेंट में एक्सपोज़्ड और एक्सप्लॉइटेबल हैं, यही असली रिस्क बताता है, और इसे प्रायोरिटी देने की कोशिशों में गाइड करना चाहिए।
0 Comments