Birden çok siber güvenlik uzmanı, kuruluşların savunmasız Log4j örneklerini aramasına yardımcı olmak için kullanımı ücretsiz tarayıcılar yayınladı.
Örneğin, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yayınladı. Log4j tarayıcı Güvenlik firması FullHunt tarafından oluşturulan önceki bir sürüme dayalı olarak GitHub’da.
CISA, bu aracın iki güvenlik açığını (CVE-2021-44228 ve CVE-2021-45046) taradığını ve güvenlik açığı keşfi ve doğrulaması için DNS geri arama desteği sunduğunu söyledi. Ayrıca HTTP POST Veri parametrelerinin yanı sıra JSON veri parametreleri için otomatik hata algılama sağlar.
Crowdstrike’tan siber güvenlik uzmanları da CAST adlı benzer bir tarayıcı yayınladı.
Tarayıcıların kusurları var
Ancak araştırmacılar, bu araçların hiçbirinin mükemmel olmadığı ve bir veya iki güvenlik açığının kaybolmasına neden olabileceği konusunda uyardılar.
Güvenlik firması Rezilion’da araştırma lideri olan Yotam Perkal, bu araçları analiz etti ve sonuçları bir blog yazısında yayınladı. Perkal’e göre, birçok tarayıcı güvenlik açığının bazı sürümlerini gözden kaçırdı.
“En büyük zorluk, üretim ortamlarında paketlenmiş yazılım içinde Log4Shell’i tespit etmekte yatıyor: Java dosyaları (Log4j gibi) diğer dosyaların birkaç katmanının derinliklerine yerleştirilebilir – bu, dosya için yüzeysel bir aramanın onu bulamayacağı anlamına gelir” diye yazdı. Perkal. “Ayrıca, birçok farklı biçimde paketlenebilirler, bu da onları diğer Java paketlerinin içinde bulmakta gerçek bir zorluk yaratır.”
Perkal toplam dokuz tarayıcıyı test etti ve bazıları diğerlerinden daha iyi performans gösterirken hiçbiri güvenlik açığı bulunan Log4j dağıtımlarının tamamını tanımlayamadı.
Perkal, “Ayrıca, algılama yeteneklerinin yalnızca sizin algılama yönteminiz kadar iyi olduğunu hatırlatıyor. Tarayıcıların kör noktaları var,” dedi. “Güvenlik liderleri, çeşitli açık kaynaklı ve hatta ticari sınıf araçların her uç durumu tespit edebileceğini körü körüne varsayamazlar. Log4j durumunda, birçok yerde çok sayıda uç örnek vardır.”
Log4Shell
Log4j, kötü niyetli aktörlerin (çok az beceriye sahip olanlar bile) milyonlarca uç noktada rastgele kod çalıştırmasına ve kötü amaçlı yazılımları, fidye yazılımlarını ve kripto madencilerini dışarı itmesine izin verebilecek kritik bir kusura sahip olduğu yakın zamanda keşfedilen bir Java kaydedicidir.
Daha fazla araştırma, kusur olarak adlandırılan Log4Shell’in yakın tarihteki en ciddi güvenlik açıklarından biri olduğunu ortaya çıkardı. CISA Direktörü Jen Easterly, bunu tüm kariyeri boyunca gördüğü “en ciddilerinden biri” olarak tanımladı, “en ciddi olmasa da”.
Apache, kusurun keşfedilmesinden bu yana Log4j için şimdiye kadar en az üç yama yayınladı ve kullanıcılardan derhal güncelleme yapmaları istendi.
Üzerinden ZDNet