İçindekiler[Saklamak][Göstermek]
Kasım 2021'in sonlarında, siber güvenliğe yönelik büyük bir tehdidi ortaya çıkardık. Bu istismar, potansiyel olarak dünya çapında milyonlarca bilgisayar sistemini etkileyecektir.
Bu, Log4j güvenlik açığı ve gözden kaçan bir tasarım kusurunun dünyadaki bilgisayar hizmetlerinin %90'ından fazlasını nasıl saldırılara açık hale getirdiği hakkında bir kılavuzdur.
Apache Log4j, Apache Software Foundation tarafından geliştirilen açık kaynaklı Java tabanlı bir günlük kaydı yardımcı programıdır. İlk olarak 2001 yılında Ceki Gülcü tarafından yazılan bu kitap, şimdi Apache Software Foundation'ın bir projesi olan Apache Logging Services'in bir parçası.
Dünyanın dört bir yanındaki şirketler, uygulamalarında oturum açmayı etkinleştirmek için Log4j kitaplığını kullanır. Aslında, Java kitaplığı her yerde bulunur, onu Amazon, Microsoft, Google ve diğer uygulamalarda bulabilirsiniz.
Kütüphanenin öne çıkması, koddaki herhangi bir olası kusurun milyonlarca bilgisayarı hacklemeye açık bırakabileceği anlamına gelir. 24 Kasım 2021'de bir bulut güvenlik Alibaba için çalışan araştırmacı korkunç bir kusur keşfetti.
Log4Shell olarak da bilinen Log4j güvenlik açığı, 2013'ten beri fark edilmedi. Bu güvenlik açığı, kötü niyetli kişilerin Log4j çalıştıran etkilenen sistemlerde kod çalıştırmasına izin verdi. 9 Aralık 2021'de kamuya açıklandı
Endüstri uzmanları Log4Shell kusuru olarak adlandırıyor: son hafızadaki en büyük güvenlik açığı.
Güvenlik açığının yayınlanmasını takip eden hafta içinde siber güvenlik ekipleri milyonlarca saldırı tespit etti. Hatta bazı araştırmacılar dakikada yüzden fazla saldırı hızı gözlemlediler.
Nasıl Çalışır?
Log4Shell'in neden bu kadar tehlikeli olduğunu anlamak için neler yapabileceğini anlamamız gerekiyor.
Log4Shell güvenlik açığı, rastgele kod yürütülmesine izin verir; bu, temelde bir saldırganın hedef makinede herhangi bir komut veya kod çalıştırabileceği anlamına gelir.
Bunu nasıl başarıyor?
İlk olarak, JNDI'nin ne olduğunu anlamamız gerekiyor.
Java Adlandırma ve Dizin Arabirimi (JNDI), Java programlarının bir ad aracılığıyla verileri ve kaynakları keşfetmesine ve aramasına olanak tanıyan bir Java hizmetidir. Bu dizin hizmetleri, geliştiricilerin uygulama oluştururken kolayca başvurabilecekleri düzenli bir kayıt kümesi sağladıkları için önemlidir.
JNDI, belirli bir dizine erişmek için çeşitli protokoller kullanabilir. Bu protokollerden biri, Basit Dizin Erişim Protokolü veya LDAP'dir.
Bir dizeyi günlüğe kaydederken, log4j formun ifadeleriyle karşılaştıklarında dize ikameleri gerçekleştirir ${prefix:name}
.
Örneğin, Text: ${java:version}
Metin: Java sürüm 1.8.0_65 olarak günlüğe kaydedilebilir. Bu tür ikameler olağandır.
gibi ifadelere de sahip olabiliriz. Text: ${jndi:ldap://example.com/file}
LDAP protokolü aracılığıyla bir URL'den bir Java nesnesi yüklemek için JNDI sistemini kullanır.
Bu, o URL'den gelen verileri etkili bir şekilde makineye yükler. Herhangi bir potansiyel bilgisayar korsanı, genel bir URL'de kötü amaçlı kod barındırabilir ve Log4j kullanan makinelerin bunu günlüğe kaydetmesini bekleyebilir.
Günlük mesajlarının içeriği kullanıcı tarafından kontrol edilen veriler içerdiğinden, bilgisayar korsanları, kontrol ettikleri LDAP sunucularına işaret eden kendi JNDI referanslarını ekleyebilirler. Bu LDAP sunucuları, JNDI'nin güvenlik açığı aracılığıyla yürütebileceği kötü amaçlı Java nesneleriyle dolu olabilir.
Bunu daha da kötüleştiren şey, uygulamanın sunucu tarafı mı yoksa istemci tarafı mı olduğu önemli değil.
Kaydedicinin saldırganın kötü niyetli kodunu okumasının bir yolu olduğu sürece, uygulama açıktan yararlanmaya açıktır.
Kim etkilendi?
Güvenlik açığı, 4'dan 2.0'e kadar olan sürümlerle APache Log2.14.1j kullanan tüm sistemleri ve hizmetleri etkiler.
Birkaç güvenlik uzmanı, güvenlik açığının Java kullanan birkaç uygulamayı etkileyebileceğini söylüyor.
Kusur ilk olarak Microsoft'a ait Minecraft video oyununda keşfedildi. Microsoft, herhangi bir riski önlemek için kullanıcılarını Java sürümü Minecraft yazılımlarını yükseltmeye çağırdı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Direktörü Jen Easterly, satıcıların büyük sorumluluk son kullanıcıların bu güvenlik açığından yararlanan kötü niyetli aktörleri önlemek için.
“Tedarikçiler, son kullanıcıların ürünlerinin bu güvenlik açığını içerdiğini bilmelerini ve yazılım güncellemelerine öncelik vermelerini sağlamak için müşterileriyle de iletişim kurmalıdır.”
Saldırıların şimdiden başladığı bildirildi. Siber güvenlik yazılımı sağlayan bir şirket olan Symantec, çeşitli sayıda saldırı talebi gözlemledi.
Araştırmacıların tespit ettiği saldırı türlerine ilişkin bazı örnekler:
- Bot ağları
Botnet'ler, tek bir saldıran tarafın kontrolü altındaki bir bilgisayar ağıdır. DDoS saldırıları gerçekleştirmeye, verileri çalmaya ve diğer dolandırıcılıklara yardımcı olurlar. Araştırmacılar Muhstik botnet'i Log4j istismarından indirilen kabuk komut dosyalarında gözlemlediler.
- XMRig Madenci Truva Atı
XMRig, Monero jetonunu çıkarmak için CPU kullanan açık kaynaklı bir kripto para madencisidir. Siber suçlular, bilgi sahibi olmadan işlem güçlerini kullanabilmeleri için XMRig'i insanların cihazlarına yükleyebilir.
- Khonsari Fidye Yazılımı
Fidye yazılımı, aşağıdakiler için tasarlanmış bir kötü amaçlı yazılım biçimini ifade eder: dosyaları şifrele bilgisayarda. Saldırganlar daha sonra şifrelenmiş dosyalara erişim izni verme karşılığında ödeme talep edebilir. Araştırmacılar, Log4Shell saldırılarında Khonsari fidye yazılımını keşfetti. Windows sunucularını hedefler ve .NET çerçevesini kullanırlar.
Sonra ne olur?
Uzmanlar, Log4J güvenlik açığının neden olduğu kaosu tamamen düzeltmenin aylar hatta yıllar alabileceğini tahmin ediyor.
Bu işlem, etkilenen her sistemin yamalı bir sürümle güncellenmesini içerir. Tüm bu sistemlere yama uygulanmış olsa bile, bilgisayar korsanlarının sunucuların saldırıya açık olduğu penceresine zaten eklemiş olabilecekleri olası arka kapı tehdidi hala var.
çok çözümler ve azaltmalar uygulamaların bu hata tarafından istismar edilmesini önlemek için var. Yeni Log4j 2.15.0-rc1 sürümü, bu güvenlik açığını azaltmak için çeşitli ayarları değiştirdi.
JNDI kullanan tüm özellikler varsayılan olarak devre dışı bırakılır ve uzaktan aramalar da kısıtlanır. Log4j kurulumunuzdaki arama özelliğini devre dışı bırakmak, olası açıklardan yararlanma riskini azaltmaya yardımcı olacaktır.
Log4j dışında, açık kaynak istismarlarını önlemek için hala daha geniş bir plana ihtiyaç vardır.
Mayıs ayının başlarında Beyaz Saray bir açıklama yayınladı. icra emri ulusal siber güvenliği geliştirmeyi amaçlamıştır. Esasen uygulamayı oluşturmak için gereken her öğenin bir listesini içeren resmi bir belge olan bir yazılım malzeme listesi (SBOM) için bir hüküm içeriyordu.
Bu, aşağıdaki gibi parçaları içerir: açık kaynak geliştirme için kullanılan paketler, bağımlılıklar ve API'ler. SBOM fikri şeffaflık için faydalı olsa da, tüketiciye gerçekten yardımcı olacak mı?
Bağımlılıkları yükseltmek çok fazla güçlük olabilir. Şirketler, alternatif paketler bulmak için fazladan zaman kaybetme riskini almak yerine herhangi bir ceza ödemeyi seçebilirler. Belki de bu SBOM'lar yalnızca, kapsam daha da sınırlıdır.
Sonuç
Log4j sorunu, kuruluşlar için teknik bir sorundan daha fazlasıdır.
İş liderleri, sunucuları, ürünleri veya hizmetleri kendilerinin yönetmediği kodlara dayandığında ortaya çıkabilecek potansiyel risklerin farkında olmalıdır.
Açık kaynaklı ve üçüncü taraf uygulamalara güvenmek her zaman bir miktar risk taşır. Şirketler, yeni tehditler ortaya çıkmadan önce risk azaltma stratejileri üzerinde çalışmayı düşünmelidir.
Web'in çoğu, dünya çapında binlerce gönüllü tarafından sağlanan açık kaynaklı yazılımlara dayanmaktadır.
Web'i güvenli bir yer tutmak istiyorsak, hükümetler ve şirketler, açık kaynak çabalarına ve aşağıdakiler gibi siber güvenlik ajanslarına fon sağlamaya yatırım yapmalıdır. CISA.
Yorum bırak