Güvenlik uzmanları, günlük kaydı aracındaki kritik bir uzaktan kod yürütme kusuruna yönelik orijinal düzeltmenin bazı durumlarda saldırılara karşı yeterli koruma sağlamadığı için, Apache Foundation’ın Salı günü yayınladığı Log4j günlük kaydı çerçevesinin yeni bir sürümüne hızla güncelleme yapmaları için kuruluşlara çağrıda bulunuyor.
Apache Foundation’a göre, Log4j kusurunu gidermek için geçen hafta yayınladığı Apache Log4j 2.15.0 sürümü (CVE-2021-44228) “varsayılan olmayan bazı yapılandırmalarda eksiktir” ve tehdit aktörlerine, savunmasız sistemlere yönelik bir hizmet reddi (DoS) saldırısını tetiklemenin bir yolunu sunar.
Apache Foundation, “log4j2.noFormatMsgLookup sistem özelliğinin true olarak ayarlanması gibi yapılandırmayı içeren önceki azaltmaların bu özel güvenlik açığını AZALTMADIĞINI unutmayın,” dedi.
Vakıf, yeni bir güvenlik açığı tanımlayıcısı atadı (CVE 2021-45046) sorun için ve söylediği aracın yeni bir sürümünü (Apache Log4j 2.16.0) yayınladı. DoS sorununu giderir.
Bu arada, geçtiğimiz Cuma günü Log4j kusurundan ilk yararlananlar arasında yer alan güvenlik sağlayıcısı Praetorian, bugün geçen haftaki Log4j 2.15.0 sürümünün başka bir soruna karşı savunmasız olduğunu söyledi: belirli koşullar altında verilerin sızdırılması.
Praetorian, araştırmanın teknik detaylarını paylaşmadı ve şirketin bulgusunu Apache Vakfı’na ilettiğini söyledi.
Praetorian CEO’su Nathan Sportsman, “Bu arada, müşterilerin mümkün olan en kısa sürede 2.16.0’a yükseltmelerini şiddetle tavsiye ediyoruz” dedi. Blog bu öğleden sonra yayınlandı.
Praetorian’ın baş araştırmacısı Anthony Weems, Apache Foundation’ın Log4j 2.15.0 sürümüyle ilgili JNDI LDAP aramalarını varsayılan olarak localhost’a kısıtlayan açıklamasının yanlış olduğunu söylüyor.
“Bu yerel ana bilgisayar kısıtlaması için bir baypasa sahibiz, yani bir ana bilgisayar CVE-2021-45046’dan etkilendiğinde, dışarı sızabilirsiniz. [environment variables] DNS aracılığıyla” diyor Weems.
Yeni gelişmeler, orijinal kusuru (CVE-2021-44228) gidermek için Log4j 2.15.0’ı zaten indirmiş olan kuruluşların artık CVE-2021-4506’ya bağlı DoS sorununu azaltmak için 2.16.0 sürümünü uygulaması gerekeceği anlamına geliyor.
Broadcom Software’in bir bölümü olan Symantec’in teknik direktörü Vikram Thakur, “Biri bir ağa veya uygulamaya sahipse ve Log4j’yi 2.15’e yama yapması gerektiğini fark ettiyse, şimdi 2.16’ya güncellemesi gerekecek” diyor.
Güvenlik uzmanları, Log4j’deki kusuru, geniş kapsamı ve sömürülme kolaylığı nedeniyle son hafızanın şimdiye kadarki en kötülerinden biri olarak tanımladı. Hemen hemen tüm Java uygulamaları, günlük tutma aracını kullanır; bu, güvenlik açığının bir Java uygulamasının kullanıldığı hemen hemen her yerde bulunduğu anlamına gelir.
“Kurumsal Java uygulamalarında sıklıkla varsayılan bir günlük işleyicisi olarak dahil edilir ve genellikle diğer Java projelerinde bir bağımlılık bileşeni olarak dahil edilir. 470.000 diğer açık kaynak projesi),” ShadowServer dedi bu hafta. Günlüğe kaydetme aracı, neredeyse tüm hizmet olarak yazılım ve bulut hizmeti sağlayıcı ortamlarında ve ayrıca hem İnternet’e yönelik hem de dahili sistemlerde bulunur.
Sonatype tarafından bu haftanın başlarında yapılan bir analiz, son dört ayda 28,6 milyondan fazla Log4j indirildiğini gösterdi.
Büyüyen Saldırı Etkinliği
İran, Kuzey Kore ve Türkiye’den artan sayıda gelişmiş kalıcı tehdit grubu da dahil olmak üzere saldırganlar, tahmin edilebileceği gibi, ilk açıklandığı andan itibaren kusurdan yararlanmaya çalışıyorlar. Microsoft Salı günü yaptığı açıklamada, araştırmacılarının İranlı tehdit aktörü Phosphorous’un Log4j için bir istismar elde ettiğini ve muhtemelen kusuru hedefleyen saldırılara hazırlanırken üzerinde değişiklikler yaptığını gözlemlediklerini söyledi. Microsoft, Exchange Server’daki ProxyLogon kusur setine yönelik sayısız sıfır gün saldırılarının arkasındaki Çin merkezli grup Hafnium’un sanallaştırma altyapısını hedeflemek için Log4j’yi kullanmaya başladığını söyledi.
Diğerleri, kripto para madencilerini, uzaktan erişim Truva atlarını, fidye yazılımlarını ve gelecekteki istismarlar için web kabuklarını denemek ve dağıtmak için kusuru hedefleyen tehdit aktörlerini tanımladı.
Edge bulut hizmetleri sağlayıcısı HızlaTehdidi takip eden , Çarşamba günü saldırganların açığı büyük ölçekte hedeflediğini gözlemlediğini söyledi. Birçoğu, kusur için hafifletmelerden kaçınmanın yollarını bulmaya başladı. Örnek olarak Fastly, savunucuların bir saldırıyı tespit etmek için basit kurallar oluşturmasını zorlaştırmak için iç içe ifadeler kullanan saldırganlara işaret etti. Ayrıca, tehdit aktörlerinin AWS erişim anahtarları, AWS oturum belirteçleri ve işletim sistemi sürüm ayrıntıları gibi verileri çıkarmaya çalıştığı artan sayıda saldırı olmuştur. Aslında, Fastly’nin gözlemlediği saldırıların %35’i veri çalma girişimlerini içeriyordu.
Fastly’nin güvenlik araştırmaları başkan yardımcısı Mike Benjamin, “Log4j saldırılarında kullanılan iç içe şablonlar, saldırganların hem içerdiği dizeleri gizlemesine hem de bilgi çalmaya çalışmasına olanak tanıyor” diyor.
Gizleme, savunucuların yanlış pozitifler olmadan blok yapmasını veya uyarmasını zorlaştırıyor, diyor.
Benjamin, “Bilgi hırsızlığı için, savunucuların, bir saldırgan tarafından çalınabilecek Java çalışma zamanı için mevcut olan tüm ortam değişkenlerine veya diğer bilgilere dikkat etmesi gerekir,” diye açıklıyor.
Fastly ayrıca, benzersiz geri aramaların %91’inin – veya savunmasız makinelerden saldırgan taramalarına verilen yanıtların – genellikle kalem testi gibi meşru amaçlarla kullanılan iyi bilinen güvenlik araçlarıyla büyük ölçüde ilişkili dört siteye işaret ettiğini buldu.
Benjamin, “Penetrasyon testçileri ve hata ödülü araştırmacıları, bant dışı geri aramalar yapmak için genellikle bu araçları kullanır” diyor. “Yükleri teslim etmek ve potansiyel olarak savunmasız hizmetlere karşı test etmek için kolay bir yer haline geliyorlar.”