Yakın geçmişte İnternet güvenliğine yönelik en büyük tehditlerden birini oluşturan Log4j güvenlik açığıyla ilgili ilk endişeler, hafta sonu boyunca patlayan kusuru hedefleyen açıklardan yararlanma ve yararlanma etkinliğiyle ve kuruluşlar için yapılan iyileştirme çalışmalarının muazzamlığıyla hızla doğrulanıyor.
Pazartesi günü Check Point, güvenlik açığının (şimdi Log4Shell olarak anılacaktır) 9 Aralık’ta açıklanmasından bu yana müşteri ağlarındaki kusur için yaklaşık 846.000 taramayı zaten engellediğini söyledi. Küresel olarak kurumsal ağların yaklaşık %40’ı zaten hedeflenmiş durumda. kusurdan yararlanmaya çalışan faaliyetlerde.
Güvenlik sağlayıcısı, zaman zaman güvenlik açığından bir dakika içinde 100’e kadar yararlanma girişimi gözlemlediğini söyledi. Bilinen kötü niyetli gruplar, kötü niyetli faaliyetlerin neredeyse yarısından -% 46’sından sorumluydu. Kontrol Noktası gözlemledi şimdiye kadar müşteri ağlarında.
Kuruluşlar için uğursuz bir şekilde, ilk olarak GitHub’da yayınlanan orijinal istismarın yeni varyasyonları hızlı bir şekilde tanıtılıyor. Yalnızca son 24 saat içinde Check Point araştırmacıları, vahşi doğada mevcut olan 60’tan fazla istismar varyasyonunu gözlemledi. Log4Shell artık HTTP ve HTTPS üzerinden de dahil olmak üzere birden fazla şekilde kullanılabilir; bu, tehdide karşı tek başına bir koruma katmanının artık yeterli olmadığı anlamına gelir.
Çok sayıda başkaları da benzer aktivite bildirdi. Örneğin Sophos, kusura saldırmak için “yüz binlerce” girişimi gözlemlediğini söyledi. Bunların çoğu, güvenlik açığı taramaları, açıklardan yararlanma testleri ve savunmasız sistemlere kripto para madenciliği kurma girişimleriydi. sofos
araştırmacılar, Amazon Web Services (AWS) platformu da dahil olmak üzere bulut hizmetlerinden şifreleme anahtarlarını ve diğer hassas verileri çıkarmak için kusuru kullanmaya çalışan saldırganları gözlemledi.
Cisco Talos’u, bu arada, yaptığı analizin Log4Shell’den yararlanmaya yönelik en erken girişimlerin 2 Aralık’ta gerçekleştiğini gösterdiğini söyledi. Diğerleri, açıktan yararlanılan etkinliğin 9 Aralık’ta açıklanmasından önce birkaç hafta boyunca devam etmiş olabileceğini belirtti. Cisco, diğer birkaç güvenlik sağlayıcısı gibi. Log4Shell’in etrafındaki kötü niyetli faaliyetlerin çoğunun şu ana kadar madeni para madencilerini ve botnet operatörlerini içerdiğini söyledi. Ancak finansal kazanç ve casuslukla motive olanlar da dahil olmak üzere diğer aktörlerin hedef ağlara erişmek için istismarı kullanmaya başlaması sadece bir zaman meselesi.
Cisco Talos’ta kıdemli tehdit araştırmacısı Vitor Ventura, “Para madencileri ve botnet operatörlerinin erken benimsemesi şaşırtıcı değil” diyor. “[It] Operasyonların arkasındaki grupların mümkün olduğunca çok sayıda yeni sistem kapma girişiminde yeni istismarları benimseme konusunda çok hızlı olduğu son birkaç yılda gözlemlediğimiz bir kalıba uyuyor.”
Tehlikeli, Sömürülmesi Kolay Bir Kusur
Log4j, Java uygulamalarında neredeyse her yerde bulunan bir günlük kaydı aracıdır. Bir kusur (CVE-2021-44228) içinde bulunur ve saldırganlara Log4j kullanan herhangi bir uygulamada uzaktan rasgele kod yürütmenin bir yolunu sunar. Uzmanlar, açığı istismar etmek için nispeten önemsiz olarak tanımladılar ve saldırganlara savunmasız günlük çerçevesi ile herhangi bir ağda yer edinmeleri için bir yol sağladı.
Güvenlik açığı bulunan yazılım, kuruluşların günlük olarak kullandığı sunuculara ve hizmetlere yerleştirilmiştir. Etkilenen yazılım ve hizmetler, bir kuruluşun dahili olarak geliştirmiş olabileceği ve Amazon, Cloudflare, ElasticSearch, Pulse Secure, VMware, Google, Apache Solr gibi üçüncü taraflardan güvenebileceği yazılım ve hizmetleri içerir. ve diğerleri.
Güvenlik açığı, kuruluşların kullandığı uygulama programlama arabirimlerinde (API’ler) bulunabilir. Bu nedenle, bir kuruluş doğrudan günlük kaydı çerçevesini kullanmasa bile, savunmasız bir API, onu saldırıya maruz bırakabilir, diye uyardı Noname Security. Java paketlemenin çalışma şekli, genellikle savunmasız uygulamaların tanımlanmasını zorlaştırabilir.
“Örneğin, Java arşivi (JAR) dosyaları, Log4j kitaplığı da dahil olmak üzere tüm bağımlılıkları içerir. Ancak, bir JAR dosyası başka bir JAR dosyası da içerebilir (başka bir JAR dosyası da içerebilir) – esasen bu güvenlik açığını birkaç katman derinliğe yerleştirir,” İsimsiz Güvenlik gönderildi.
Huntress Labs güvenlik araştırmacısı John Hammond, nihayetinde neredeyse her organizasyonun güvenlik açığından bir şekilde etkilendiğini söylüyor. Buna, yönetilen hizmet sağlayıcıların kullandığı önemli miktarda yazılım dahildir, diye ekliyor.
“Her insanın, bu güvenlik açığını bir yere saklamış olan bir yazılım veya teknolojiyle etkileşime girme olasılığı son derece yüksek, neredeyse kesin” diyor.
Hammond, şu ana kadar vahşi doğada saldırı veya istismarda net bir hedef olmadığını söylüyor. “Bu güvenlik açığı her yerde olduğu ve istismar çok önemsiz olduğu için hedef yok – güvenlik endüstrisi İnternet’in her yerinde saldırılar görüyor.”
Azaltma Zorlukları
Kusurları azaltan kuruluşların, dışarıdan bakan sunucuların ve uygulamaların ötesine bakmaları gerekebilir. Cisco Talos araştırmacıları, bazı durumlarda bir saldırganın toplu taramaları ile ağdaki savunmasız sistemlerden gelen geri aramalar arasında bir boşluk gözlemlediklerini söyledi. Bu, açıklardan yararlanmaların bir kuruluşun günlük toplama sistemleri ve SIEM sistemleri gibi dahili sistemlerinde de tetiklendiğini gösterir.
Ventura, tipik yanıt süresinin neredeyse anında olduğunu ve olmayan herhangi bir şeyin, verileri yığınlar halinde işleyen arka uç sistemlerin muhtemelen olduğunu gösterdiğini söylüyor. Bir örnek, günlüklerini işlemesi birkaç dakika süren e-postayı analiz eden bir sistem olabilir. Ventura, “Bunun gösterdiği şey, arka uç sistemlerin bile bu güvenlik açığına olası maruz kalma için gözden geçirilmesi gerektiğidir” diye ekliyor. “Kullanıcı tarafından sağlanan girdilerin işlenmesiyle sonuçlanan her şeyin gözden geçirilmesi gerekiyor. Bu, bu güvenlik açığının geniş kapsamının bir yansımasıdır.”
Analist firma Forrester Research önerilen
kuruluşların tehdidi azaltma görevini üç paralel akışa ayırması: önleme ve tespit; satıcı risk yönetimi; ve tehdidin doğası hakkında iç ve dış iletişim.
Forrester analisti Allie Mellen, bunun, güvenlik açığını dahili olarak, satıcılarla birlikte yönetmek ve saldırıları önlemek veya bunlara hızla yanıt verebilmek için çok yönlü bir çaba gerektirdiğini söylüyor.
“Güvenlik ve BT ekipleri, bu güvenlik açığından herhangi bir dahili sistemin etkilenip etkilenmediğini belirlemeli ve bu sistemlere yama yapmalıdır” diye belirtiyor. “Ayrıca, hangi sistemlerin yamalanması gerektiğini belirlemek ve satıcılarından zamanlamada durum güncellemeleri almak için, güvenlik araçları da dahil olmak üzere, işletme genelinde şu anda kullandıkları tüm satıcıları izlemeleri gerekiyor.”
Bazı satıcıların güvenlik açığını gidermesi aylar alabilir. Ancak kuruluşlar, yamaları hızlı bir şekilde yayınlayan satıcılar için yazılımlarını zamanında güncellemeyi bir öncelik haline getirmelidir.
“[IT teams] her sistemi aynı anda yamalayamazlar, bu nedenle bir yama ve test programı geliştirmeleri gerekecek,” diyor Mellen. Güvenlik operasyonları ekibinin saldırıları izlemesi ve tehditle ilgili yüksek düzeyde bir durumsal farkındalığı sürdürmesi gerekecek. “Alt satır: Güvenlik ekiplerinin yapması gereken bir ton iş var” diye ekliyor ve “hepsi çapraz işlevli.”
İsrail istihbarat servisinin siber departmanının eski başkanı ve şu anda Mitiga’nın kurucu ortağı ve COO’su Ariel Parnes, kuruluşların ayrıca ihlal edilmediklerinden emin olmaları gerektiğini söylüyor.
Parnes, “Bu güvenlik açığı yıllardır var” diyor. “Saldırganlar bunu zaten ortamlarınıza saldırmak için kullanıyor olabilirdi, bu yüzden zaten güvenliğinizin ihlal edilmediğinden emin olmalısınız.” Mitiga, kuruluşların nasıl bulabileceklerini açıklayan bir blog yazısı yayınladı. savunmasız varlıklar AWS’de.