Kuruluşlarının Log4j güvenlik açığına maruz kalmasını azaltmak için çalışan güvenlik ekiplerinin üstesinden gelmesi gereken birçok zorluk var. Bunlar, maruz kalmanın tam kapsamını belirlemeyi, yama uygulanamayan sistemler için geçici çözümler bulmayı ve üçüncü taraf ürün ve hizmetlerinin güvenliğinin sağlanmasını içerir.
Güvenlik uzmanları bu hafta yaptığı açıklamada, çoğu kişi için, kusurdan yararlanmaya çalışan saldırganların belirtilerini veya zaten ele geçirilmiş olabilecekleri belirtilerini sürekli olarak izleme ihtiyacı nedeniyle görevin daha da karmaşık hale geleceğini söyledi.
Log4j, neredeyse tüm Java uygulamalarında bulunan bir günlük kaydı aracıdır. Kritik bir uzaktan kod yürütme güvenlik açığı (CVE-2021-44228) Log4j’nin 2.0-beta9’dan 2.14.1’e kadar olan sürümlerinde bulunur ve bu, saldırganların savunmasız sistemlerin tam kontrolünü ele geçirmesini sağlar. Apache Foundation, geçen hafta aracın güncellenmiş bir sürümünü (Apache Log4j 2.15.0) yayınladı, ardından orijinal düzeltme hizmet reddi (DoS) saldırılarına ve veri hırsızlığına karşı tam koruma sağlamadığı için Salı günü ikinci bir güncelleme yayınladı.
Açıktan yararlanmanın kolay olması ve hemen hemen her BT ortamında mevcut olması nedeniyle, kusur yaygın olarak son bellekteki en tehlikelilerden biri olarak kabul edilir. Veracodeörneğin, müşterilerinin %88’inin Log4j’nin bazı sürümlerini kullandığını ve %58’inin ortamlarında güvenlik açığı bulunan bir sürümü olduğunu tespit etti.
Dünyanın dört bir yanındaki saldırganlar, geçen hafta açıklandığı andan itibaren kusurdan yararlanmaya çalışıyorlar. Çok sayıda satıcı, madeni para madencilerini, fidye yazılımlarını, uzaktan erişim Truva atlarını, Web kabuklarını ve botnet kötü amaçlı yazılımlarını dağıtma girişimlerini gözlemledi. Armis Çarşamba günü, müşterilerinin yaklaşık %35’inin güvenlik açığı yoluyla aktif saldırı altında olduğunu ve %31’inin yönetilmeyen cihazlarda Log4j ile ilgili bir tehdide sahip olduğunu bildirdi. Güvenlik sağlayıcısı, müşterilerine karşı 30.000’e kadar istismar girişimi gözlemlediğini söyledi. Diğer bazı satıcılar da benzer faaliyetler bildirmiştir.
Armis, şimdiye kadar BT ortamlarında en çok hedeflenen varlıkların sunucular, sanal makineler ve mobil cihazlar olduğunu tespit etti. OT ağlarında, güvenliği ihlal edilmiş cihazların %49’u sanal makineler ve %43’ü sunuculardır. OT ağlarındaki diğer hedeflenen cihazlar arasında IP kameralar, insan makine arayüzü (HMI) cihazları ve SCADA sistemleri bulunur.
Sorunun Kapsamını Belirlemek
Güvenlik uzmanlarına göre, kuruluşların Log4j’yi hedef alan saldırılara karşı savunmada karşılaştıkları en büyük zorluk, tehdide tam olarak maruz kalmalarını bulmaktır. Güvenlik açığı yalnızca bir kuruluşun İnternet’e yönelik varlıklarında değil, dahili ve arka uç sistemlerde, ağ anahtarlarında, SIEM ve diğer günlük sistemlerinde, dahili olarak geliştirilen ve üçüncü taraf uygulamalarda, SaaS ve bulut hizmetlerinde ve bunların ortamlarında bulunabilir. bile bilmiyor olabilir. Farklı uygulamalar ve bileşenler arasındaki karşılıklı bağımlılıklar, bir bileşenin doğrudan güvenlik açığına sahip olmasa bile bundan etkilenebileceği anlamına gelir.
Java paketlemenin çalışma şekli, genellikle etkilenen uygulamaları tanımlamayı zorlaştırabilir. İsimsiz Güvenlik diyor. Örnek olarak, bir Java arşivi (JAR) dosyası, belirli bir bileşenin Log4j kitaplığı da dahil olmak üzere tüm bağımlılıklarını içerebilir. Ancak bu JAR dosyası, başka bir JAR dosyası içerebilecek başka bir JAR dosyası içerebilir – güvenlik sağlayıcısı, güvenlik açığını birkaç katman derinliğe gömdüğünü söyledi.
Netskope’de tehdit araştırma mühendisi Gustavo Palazolo, “Log4j’de bulunan güvenlik açıklarını azaltmada kuruluşların karşılaştığı ana zorluklardan biri, güvenliği ihlal edilmiş tüm varlıkları belirlemektir” diyor. Log4j Apache Java tabanlı günlük kitaplığı çok popülerdir ve birçok uygulama tarafından, ayrıca geriye dönük uyumluluk için korunan IoT cihazları ve eski sistemler tarafından kullanılabilir, diye ekliyor.
Bir uygulamanın savunmasız olduğu tespit edilse bile, bir kuruluş kapalı kalma süresini karşılayamayabilir veya uygun yama yönetimi kontrollerinden yoksun olabileceğinden, güncellenmesi zor olabilir.
Palazolo, “Bu nedenle, güvenliği ihlal edilmiş tüm sistemlerin belirlenmesi ile sorunun düzeltilmesi arasındaki süre bazı senaryolarda uzun sürebilir,” diyor.
API’ler ve Üçüncü Taraf Riskleri
Tek sorun uygulamalar değil. Log4j güvenlik açığı, uygulama programlama arabirimi (API) ortamlarını da etkileyebilir. Noname, güvenlik açığını içeren API sunucularının çekici bir saldırı vektörü sunduğunu, çünkü birçok kuruluşun API envanteri ve API’lerinin davranışı üzerinde sınırlı görünürlüğe sahip olduğunu söyledi. Log4j günlüğe kaydetme çerçevesini kullanmayan bir işletme, Log4j kusurunu içeren güvenilir üçüncü taraf API’lerini kullanıyor ve dolayısıyla onu riske atıyor olabilir.
“Bir kuruluşun risklerini en aza indirgemesi için [Log4j vulnerability] Noname Security’de teknolojiden sorumlu başkan yardımcısı Aner Morag, “API’ler aracılığıyla sömürü için birkaç adımın atılması gerekiyor” diyor. Morag, API sunucusunun, arka uç hizmetlerinin hangi sunuculara bağlanabileceğini kontrol etmek için bir proxy veya başka bir mekanizma kullanarak ve API’leri bir API ağ geçidinin veya yük dengeleyicinin arkasına yerleştirdiğini söylüyor.
Kuruluşların karşılaştığı bir diğer zorluk, kullandıkları tüm üçüncü taraf ürün ve hizmetlerin düzgün bir şekilde yamalandığından veya kusura karşı hafifletmelere sahip olduğundan emin olmaktır.
“Birçok satıcı ürünü etkileniyor, [and] Alert Logic’in güvenlik operasyonlarından sorumlu başkan yardımcısı Tom Gorup, etkilenen satıcıların listesi her gün artıyor” diyor.
Grup, güvenlik ekiplerinin ürünlerinden herhangi birinin etkilenip etkilenmediğini anlamak için satıcılarının web sitelerini kontrol etmelerini veya doğrudan onlarla iletişime geçmelerini önerir. Bir satıcı savunmasız olabilir, ancak müşterilerini korumak için azaltma adımları yayınlamıştır.
Grup, “En azından, varlıklarınızın güncellemeyi aldığını nasıl doğrulayabileceğinizi anlamak isteyeceksiniz” diyor. Ayrıca, güvenlik ekiplerine, son birkaç gün içinde kullanıma sunulan savunmasız ürünlerin listelerini kontrol etmelerini önerir. bu GitHub’da.
Grup, “Bu güvenlik açığına yanıt olarak ‘Java kullanmıyoruz’ olabilir” diyor. “Bunun doğru olabileceği durumlarda, üçüncü taraf yazılımınız onu katıştırmış olabilir ve bu da güvenlik açığı taramalarınızın görünmemesine neden olabilir. [the threat]”