Soru: Kuruluşumda güvenlik açığı bulunan Log4j bileşenine sahip sunucuları nasıl bulabilirim?
Güvenlik açığı bulunan Log4j içeren Java uygulamalarını güncellemekle görevli kurumsal BT ve güvenlik ekipleri için zor olan kısım, ilk etapta etkilenen uygulamaları olup olmadığını doğru bir şekilde değerlendirmektir. 2.14.1’den önceki bir Log4j sürümünü kullanan herhangi bir Java uygulaması güvenlik açığına sahiptir (CVE 2021 44228) — ve Java’nın kuruluşta bu kadar yaygın olarak kullanılması gerçeği, çok fazla güvenlik açığı olduğu anlamına gelir. büyük saldırı yüzeyi. Java uygulamaları ve Struts gibi Web uygulama çerçeveleri gibi bakılması gereken bariz yerler vardır. Ancak donanım araçları için yönetici konsolları gibi daha az belirgin kullanımlar vardır.
Bir kuruluş, özel veya alternatif bir kayıt aracı kullandıkları için geliştiricileri tarafından Log4j’nin resmi olarak kullanılmadığından emin olsa bile, durumu kontrol etmek ve doğrulamak hala gereklidir. Resmi bir politika yürürlükte olsa bile, bazı ekipler Log4j’yi belirli bir projede bağımsız olarak kullanmış olabilir. Bu Teknik İpucu, bu süreçte yardımcı olabilecek bir aracı açıklar.
Sistem Bulma Araçları
Birkaç satıcı, farklı araçlar yayınladı yardım kuruluşları gibi güvenlik açığı bulunan uygulamaları ve sistemleri bulun. Randori. Bir başka ilginç araç da Thinkst Canary’den geliyor. Kullanıcılar bir DNS tabanlı belirteç jndi:ldap dizesine ekledikleri CanaryToken arabiriminde. Bu dize, kitaplıkları günlüğe kaydederek potansiyel olarak ayrıştırılacak olan arama kutularına ve alanlara yapıştırılabilir. Sistem savunmasızsa, kanarya jetonu şirket, savunmasız sunucunun ana bilgisayar adını e-postayla göndereceğini söylüyor.
“Bunu, savunma oyuncularının biraz acı çekmesine yardımcı olacak hızlı bir hack olarak görüyoruz.” Thinkst Kanarya Twitter’da şunları söyledi:.
Başka bir araç ThreatMapper, açık kaynaklı, bulutta yerel bir güvenlik gözlemlenebilirlik platformu derin çit, güvenlik açıklarını arar ve bunları çalışma zamanında istismar riskine göre sıralar. Güvenlik ekipleri, Log4j’deki güvenlik açığından hangi iş yüklerinin etkilendiğini ve bu iş yüklerinden hangilerinin en büyük istismar riski altında olduğunu görebilir. Liste, doğrudan ve dolaylı olarak internete maruz kalan sanal makineleri ve bölmeleri içerir. işte o sistemler güvenlik ekiplerinin düzeltmesi gerekiyor şu anda, diyor Deepfence.
Deepfence CEO’su Sandeep Lahane, “ThreatMapper, kuruluşların potansiyel olarak yüzlerce düğümden yamalanacak, internetten bir veya iki durak ötede olabilecek ve hemen düzeltilmesi gereken bir avuç düğüme indirgenmesine yardımcı oluyor” diyor.
Trafiği Engelle
Bugcrowd CEO’su Casey Ellis, kuruluşların araştırma yaparken yapabileceklerinden birinin şüpheli çıkış trafiğini engellemek için güvenlik duvarı kurallarını kullanmak olduğunu söylüyor. Ellis, “Log4Shell’in ilk aşaması tetiklendiğinde, bu, saldırgan tarafından kontrol edilen bir sunucuya yönelik bir aramayı tetikler” diyor. İkinci aşama Java yükünü alan veya hassas bilgileri dışarı sızdıran arama, LDAP ve DNS dahil olmak üzere çeşitli JDNI destekli protokolleri kullanabilir. Bunlar dikkat edilmesi gereken protokollerdir.
Ellis, “Log4J bulunan sistemlerin bu şekilde bir ağdan çıkmasını engellemek, ikinci aşamanın alınmasını azaltır ve başarılı birinci aşama yürütme yoluyla veri hırsızlığı potansiyelini sınırlar” diyor. “Bir ağdan DNS çıkışı çok nadiren engellendiğinden, veri hırsızlığı için tercih edilen mekanizma olarak DNS kullanan hem ödül avcıları hem de kötü niyetli saldırganlar gördük. Ya bir güvenlik duvarından geçmesine izin verilir ya da çözümleyiciler tarafından iletilir.”
LDAP trafiğinin ağdan ayrılması gereken çok sınırlı koşullar vardır, bu nedenle bu tür trafiğin engellenmesi saldırıların engellenmesini sağlar.