9 Aralık’ta açıklanan Log4j uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen saldırılara maruz kalmayı azaltmak için çalışan kuruluşların akıllarında tutmaları gereken birkaç yeni nokta var.
Blumira’daki güvenlik araştırmacıları, tehdit aktörlerinin bir JavaScript WebSocket bağlantısı aracılığıyla dahili ve yerel olarak açığa çıkan Log4j uygulamalarında RCE kusurunu potansiyel olarak tetikleyebileceğini keşfettiler – bu, saldırı yüzeyinin ilk düşünülenden çok daha büyük olabileceğini düşündürüyor. Bu arada Apache Foundation, geçtiğimiz günlerde günlüğe kaydetme çerçevesindeki üçüncü bir güvenlik açığını düzeltmek için hafta sonu bir güncelleme daha yayınladı; bu, kuruluşların tehdide karşı tam olarak korunmak için yazılımlarını bir kez daha yamalamaları gerekeceği anlamına geliyor.
Binaen Blumira’ya göre saldırganlar, kullanıcıları bir WebSocket bağlantısı başlatmak için JavaScript çalıştıran herhangi bir sunucuya çekerek Log4j RCE kusurundan yararlanabilir. WebSocket birçok modern tarayıcının sunucu ve istemci arasında çift yönlü iletişim için kullandığı bir iletişim protokolüdür. Site, WebSocket’i kullanarak kullanıcının sistemine veya yerel ağına çağrı yapacaktı. CTO ve kurucu ortak Matthew Warner, kurbanın ana bilgisayarı savunmasızsa, LDAP, RMI, DNS, HTTP veya başka bir protokol üzerinden saldırgan tarafından kontrol edilen başka bir web sitesine seslenmeye ve Log4j RCE’den yararlanmak için kötü amaçlı JavaScript indirmeye zorlandığını söylüyor. Blumira’nın.
Warner, “Kurbanın savunmasız bir Log4j sürümü varsa ve talep edilen yollara ve/veya bu isteklerin kaynağına yönelik isteklerin oturumunu kapatıyorsa, bu kötü niyetli ana bilgisayara Log4j JNDI aramasını tetikler” diyor. “Ek bir çabaya gerek kalmayacak.”
Warner, Blumira’nın araştırmasının Log4j’nin etkisinin savunmasız sunucularla sınırlı olmadığını gösterdiğini söylüyor.
Warner, “Makinelerinde veya yerel özel ağlarında güvenlik açığı bulunan bir Log4j sürümünü kullanan bir hizmeti olan herkes bir web sitesine göz atabilir ve potansiyel olarak güvenlik açığını tetikleyebilir” diyor. Saldırı yüzeyini önemli ölçüde genişletiyor ve kimlik avı ve kötü niyetli reklam dolandırıcılığı operatörlerinin yararlanabileceği başka bir silah olduğunu söylüyor.
Yeni saldırı vektörü, Log4j için önerilen düzeltme adımlarını zaten takip eden kuruluşlar için sorunları karmaşıklaştırmamalıdır. Warner, “Ancak, tüm yerel geliştirme ve dahili sunuculara yama uygulanmasının önemini vurguluyor” diyor.
Üç Güvenlik Açığı — Şimdiye Kadarki
Log4j, Java ortamlarında hemen hemen her yerde bulunan bir günlük kaydı aracıdır. 9 Aralık’tan bu yana, günlük kaydı çerçevesinde her biri farklı önem derecesine sahip üç benzersiz güvenlik açığı açıklandı. En ciddi olanı kritik RCE güvenlik açığıdır (CVE-2021-44228) Apache Vakfı’nın 9 Aralık’ta ifşa ettiği.. Hata, Log4j 2.0-beta9 ila Log4j 2.14.1 sürümlerinde varsayılan olarak etkinleştirilen Java Adlandırma ve Dizin Arabirimi (JNDI) arama özelliğinde bulunmaktadır.
Saldırganlar, internete bakan sistemler, dahili sistemler, ağ bileşenleri, sanal makineler, endüstriyel kontrol ve SCADA sistemleri ve bulutta barındırılan varlıkları içerebilen savunmasız sistemlerin tam uzaktan kontrolünü ele geçirmek için bu özellikten yararlanabilir.
Apache Foundation, açıktan aktif olarak yararlanmaya çalışan saldırganların raporları arasında güvenlik açığını gidermek için 10 Aralık’ta Java 8 kullanıcıları için günlük kaydı çerçevesinin (Log4j 2.15.0) güncellenmiş bir sürümünü yayınladı.
Ardından 13 Aralık’ta ikinci bir güncelleme geldi (Java 8 için Log4j 2.16.0 ve Java 7 için Log4j 2.12.2), çünkü orijinal düzeltme temelde sistemleri hizmet reddi (DoS) saldırılarına açmakla sonuçlandı (CVE 2021-45046) belirli koşullar altında.
18 Aralık’ta Apache Foundation, Log4j’deki (Java 8 için Log4j 2.17.0) üçüncü, sonsuz yinelemeli bir güvenlik açığını gidermek için başka bir güncelleme yayınladı (CVE-2021-45105) DoS saldırılarına izin verdiğini açıkladı.
Gurucul CEO’su Saryu Nayyar, “Sonsuz özyineleme, kodun kendini tekrar tekrar çağırmasıdır” diyor. “Sonunda, kendisine ayrılan belleği taşacak ve tanımlanan bellek alanının dışına kötü amaçlı kod enjekte etme yeteneği sağlayacaktır.”
Hem CVE 2021-45046 hem de CVE-2021-45105 yalnızca şu koşullar altında kullanılabilir: belirli varsayılan olmayan koşullar ve bu nedenle daha az şiddetli olarak kabul edilir CVE-2021-44228, 9 Aralık’ta açıklanan ve çok geniş bir organizasyon alanını etkileyen kusur.
Güvenlik araştırmacılarına göre Google, hata 35.000’den fazla Java paketini – veya tüm paketlerin % 8’inden fazlasını – etkiler. Maven Merkez, Java paketlerinin en büyük depolarından biri. Kusurun yaygınlığı ve istismar edilebilmesindeki göreceli kolaylık, tehdit aktörleri topluluğu içinde geniş çapta dikkat çekmiştir.
Güvenlik sağlayıcıları, İran, Çin ve Türkiye gibi ülkelerden devlet destekli tehdit gruplarının yanı sıra finansal olarak motive olmuş çok sayıda saldırganın açıktan aktif olarak yararlanmaya çalıştığını bildirdi.
Faaliyet, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) Cuma günü tüm sivil federal kurumların savunmasız sistemleri belirlemek, yamalamak veya azaltmak için bir dizi önlem almasını emreden bir acil durum yönergesi yayınlamaya sevk etti. Acentelerin direktifin gerekliliklerine uyması için 23 Aralık’a kadar süreleri var.
En son gelişmeler, kuruluşların tehdide karşı en azından bir miktar ilerleme kaydettiklerine dair işaretler arasında geldi. Bulut güvenliği sağlayıcısı Wiz’in yaptığı bir analiz, kusurun açıklanmasından 10 gün sonra kuruluşların ortalama olarak savunmasız bulut kaynaklarının yaklaşık %45’ini yamaladığını gösteriyor. Ancak satıcı, savunmasız makinelerin %45’inin tehdide karşı korumasız kaldığını tespit etti. Bu sistemlerden %25’i yönetici ayrıcalıklarına sahipti ve %7’si internete açıktı.
Bu arada, bir Gösterge Paneli
Log4j indirmelerini izlemek için bu hafta başlatılan Sonatype, 10 Aralık’tan bu yana günlük kaydı aracının 4,6 milyondan fazla indirildiğini gösterdi. Şirketin “en son indirmeler” olarak tanımladığı şeylerin yüzde kırkı Log4j’nin savunmasız sürümlerinden oluşuyordu.