Birçok güvenlik ekibi, son birkaç gündür kuruluşlarının popüler Log4j Java tabanlı günlük kitaplığında açıklanan bir kusur olan “Log4Shell” olan CVE-2021-44228’e maruz kalma durumunu değerlendirmek ve ele almak için yoğun bir şekilde çalışıyor. Satıcılardan ve sosyal medyadaki işbirliklerinden önemli ve memnuniyetle karşılanan miktarda taktik bilgi mevcut olsa da, bu olaya daha geniş bir açıdan bakma fırsatı da var.
Güvenlik açığı geniş çapta tartışıldı, ancak kısaca, Log4j içindeki kodun uzaktan kod yürütme istismar tekniğine açık olduğu bulundu. Benzersiz bir kod dizisi kullanarak, bir düşman Log4j çalıştıran bir hedef sisteme tam erişim elde edebilir.
İlk yazılım yaması 6 Aralık’ta yayınlandı. Ancak, yaygın olarak kullanılan yazılım bileşenlerindeki diğer son kusurlarda olduğu gibi, Log4j’yi kullanan aşağı akış üçüncü taraf yazılım üreticileri için önemli sonuçlar oldu. Apple, Amazon ve Google dahil olmak üzere yüzlerce olmasa da düzinelerce etkileniyor; bu satıcılar savunmasız yazılımları güncellemek için çalışıyorlar.
Herhangi bir olay müdahalesinde olduğu gibi, erken bilgilerin genellikle daha sonra daha iyi içgörülerle desteklenebileceğini kabul etmek önemlidir – aslında, bu parça yazılırken, CVE-2021-45046 olarak günlüğe kaydedilen ikinci bir güvenlik açığı ortaya çıkarıldı. Bununla birlikte Log4j sürüm 2.16.0’a yükseltmek için güncellenmiş kılavuz gelir. Bu arada, kötü niyetli aktörlerin bu güvenlik açığını fidye yazılımlarını ve diğer saldırıları tetiklemek için kullandığına dair çok sayıda rapor ortaya çıktı ve Omdia daha fazla gelişme bekliyor. Ama şimdi bile, önemli dersler toplamaya başlayabiliriz.
Yazılım Tedarik Zincirlerinin Belgelenmesi Gerekiyor
Bu olay, uzun bir tedarik zinciri saldırı serisinden bir tanesidir ve genel etkisi açısından büyük olasılıkla SolarWinds yazılım tedarik zinciri uzlaşmasının 2020’nin sonundaki durumunu geride bırakmıştır. Günümüzün küresel olarak birbirine bağlı yazılım tedarik zincirinin doğası, savunmasız yazılım bileşenlerinin yakın gelecekte tekrar eden bir tehdit olacağı anlamına gelir.
Bu, birden fazla soyutlama düzeyinde doğru ve zamanında envanterlerin muazzam değerini vurgular. Spesifik olarak, Log4j ile ilgili olarak, zorluk önemlidir; genellikle yalnızca birden fazla sistemde değil, aynı zamanda farklı konumlardan da çağrılabilen, yaygın olarak dağıtılan bir kitaplıktır.
Yazılım bileşenleri envanterleriyle, yazılım üreticileri bu sorunları hızlı bir şekilde belirlemek için adımlar atabilir ve bu yöntemlerden biri de yazılım malzeme listesi (SBOM) adı verilen bir kavramdır – yazılım bileşenlerinin temel yapı taşlarının doğru, zamanında ve kolayca tüketilebilir bir açıklaması .
Satıcılar için bir SBOM, belirli ürünlerin etkilenip etkilenmediği konusunda müşterilerine zamanında bilgi vermelerine yardımcı olabilir. Son kullanıcılar için, önemli uygulamalar için uygun SBOM’lara sahip olmak, önceliklendirme döngüsünü önemli ölçüde kısaltır, çünkü potansiyel olarak etkilenen bir uygulamaya erişimi kısıtlamak için harekete geçebilir, hatta bir düzeltme sağlanana kadar onu çevrimdışına alabilirler.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), SBOM’ların geliştirilmesi ve kullanımı konusundaki çabalara öncülük ediyor ve Log4j güvenlik açığı hakkında güncel bilgiler sağlıyor. Üzücü bir tesadüfle, ajans daha önce bu hafta için SBOM merkezli bir etkinlik planlamıştı.
Bir SBOM’ye sahip olmak her derde deva değildir, ancak kuruluşların yazılım tedarik zinciri güvenlik açıklarının neden olduğu istismarların kurbanı olmaktan kaçınmasına büyük ölçüde yardımcı olabilir.
Buna maruz kalıp kalmadıklarını belirlemek isteyen güvenlik ekipleri için, iyi bir sistem/uygulama envanteri, söz konusu kitaplığı kullanıp kullanmadıklarını belirlemenin ilk adımıdır. Burada ekipler, “mükemmel” bir envanter için çabalamanın zorluğuna dikkat etmelidir: Ortamların değişmesi kaçınılmazdır, bu nedenle envanter bilgisi dinamik olmalıdır.
En Az Ayrıcalık, Derinlemesine Savunma Kritik Kalıyor
Derinlemesine savunma ve en az ayrıcalık gibi kanıtlanmış güvenlik ilkelerinin de oynayacak güçlü bir rolü vardır. Birçok güvenlik ekibi bu kavramları iyi anlıyor ve bunları kuruluşlarının yazılım ve çözüm dağıtımlarına uygulamak istiyor, ancak genellikle diğer paydaşların direnişiyle karşılaşıyor veya bunları dağıtacak kaynaklara sahip değiller.
BT’de otomasyonun artan kullanımı – örneğin kod olarak altyapı, özellikle CI/CD etrafında oluşturulmuş modern boru hatlarında kullanıldığında – güvenlik ekiplerinin başlangıçtan itibaren ve birden çok sistemde daha güvenli çözümler oluşturmak için geliştiricilerle işbirliği yapmasını mümkün kılar.
En az ayrıcalık ayrıca ana bilgisayar, uygulama ve ağ düzeylerinde önemli bir rol oynar. Ana bilgisayar düzeyinde, Log4j’den yararlanan sürecin gerçekten hangi ayrıcalıklara ve yeteneklere sahip olması gerekiyor? Giderek, en az ayrıcalık ilkelerinin kullanımı ve çalışma zamanı korumasının yanı sıra davranış izleme, istismar edilen bir sistemin etkisini içermek için güçlü bir kombinasyon görevi görebilir. Benzer hususlar, uzak kod tabanlarının kullanımını kontrol etmek gibi özellikler aracılığıyla Java uygulamalarının güvenliğini sağlamak için de geçerlidir.
Daha da önemlisi, ağ düzeyinde, en az ayrıcalık, çıkış kontrolü gibi yöntemlerle kendini gösterir. Log4Shell’in iki aşamalı bir saldırı olması nedeniyle – yükün saldırgan tarafından kontrol edilen bir sistemden indirilmesi gerekir – virüslü sistemin hangi sistemlere bağlantı başlatabileceğini bile kilitleyebilmek özellikle yararlıdır.
Güvenlik Araştırmacıları, Log4j Güvenlik Açığı Gelme Potansiyelini Gördü
Son olarak, güvenlik araştırmalarına dikkat etmenin akıllıca olduğunu da hatırlatalım. Black Hat 2016’da, Alvaro Muñoz ve Oleksandr Mirosh, JNDI ile ilgili konularda araştırma sundular – Log4j’nin kullandığı temel arayüz – ve özellikle Log4j’yi adlandırmasa da, günümüzün krizi hakkında ürkütücü bir şekilde öngörülüdür. Bu itibar, 2018’de burada yazan Contrast Security’den Jeff Williams’a düşüyor: “Bir saldırgan log4j gibi popüler bir kitaplığa sızabilseydi, dünyadaki çoğu veri merkezinde ayrıcalıkla çok hızlı bir şekilde çalışırlardı.”
Bu, elbette, bu sorunları ele almak isteyen %110 oranında çalışan ekipler için çok az rahatlıktır, ancak güvenlik ekiplerine yalnızca araştırmadan ilgili bilgilere erişim sağlamanın değil, aynı zamanda kaynaklara (zaman, para, siyasi destek) vermenin önemini vurgulamaktadır. ve daha fazlası — bu dersleri bir kuruluşun kendi altyapısına ve uygulamalarına uygulamak için gerekliydi.
Buradaki derslerin hiçbiri, güvenlik ekiplerinin bu konuyu ele almak için üstlendiği herküllü çalışmayı azaltmamalıdır. Her şeyden çok, kuruluşlarına yardım etmeye devam ederken hem bu krizde hem de ötesinde desteğe ihtiyaçları var. Güvenliğin şüphesiz bir takım sporu olduğunu asla unutmayalım.