En az bir ulus devlet aktörü de dahil olmak üzere tehdit aktörleri, fidye yazılımı, uzaktan erişim Truva atları ve Web kabuklarını savunmasız sistemlere dağıtmak için yeni açıklanan Log4j kusurundan yararlanmaya çalışıyor. Bu süre boyunca kuruluşlar, güvenlik açığını içeren günlük kaydı aracının sürümlerini indirmeye devam ediyor.
Bu yeni saldırı etkinliği, saldırganların, esas olarak kripto para madenciliği araçlarını düşürmeye ve onları bir botnet’e eklemek amacıyla sistemleri tehlikeye atmaya odaklanan ilk istismar girişimlerinden bir tür yükselişi temsil ediyor. Hedeflenen sistemler arasında sunucular, sanal makineler, bilgisayarlar ve IP kameralar bulunur.
Salı günü CrowdStrike olduğunu söyledi gözlemlenen
bir ulus devlet aktörü, kusurdan yararlanmaya ilgi gösteren hamleler yapar.
CrowdStrike istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, “CrowdStrike Intelligence, İran merkezli devlet destekli aktör NEMESIS KITTEN’in yeni bir sunucuya Log4j tarafından tetiklenebilecek bir sınıf dosyası yerleştirdiğini gözlemledi” diyor. “Zamanlama, amaç ve yetenek, Log4j’den yararlanmaya çalışan düşmanın ne olacağıyla tutarlı” diye ekliyor. Meyers, NEMESIS KITTEN’i daha önce hem yıkıcı hem de yıkıcı saldırılara karışmış bir düşman olarak tanımlıyor.
En son gelişmeler, kuruluşların Apache Foundation’ın sunduğu Log4j günlük kaydı çerçevesinin yeni sürümüne güncelleme yapma aciliyetini artırıyor. piyasaya sürülmüş Güvenlik uzmanları bu hafta 10 Aralık’ta ya da önerdiği hafifletme önlemlerinin uygulanacağını söyledi.
“Yama, uygulama [indicators of compromise]Bitdefender’da küresel yönetilen algılama ve yanıt (MDR) operasyonları direktörü Daniel O’Neill, “Tehdit algılama ve yanıtın güncellenmesi şu anda tüm kuruluşlar için kritik öneme sahip” diyor.
Bu noktada, Log4j kusurunu içeren çoğu saldırı faaliyeti, doğası gereği fırsatçı olmaya devam ediyor, O’Neill, sıfırıncı gün güvenlik açığının ilk aşamasının tipik bir örneği olduğunu söylüyor. Ancak O’Neill, kuruluşların bu kusurun ileride daha hedefli saldırılarda kullanıldığını görmeyi bekleyebileceğini de ekliyor. “Daha gelişmiş saldırganların şimdi bir dayanak oluşturmaya çalışması ve daha sonraki bir aşamada bu güvenlik açığından yararlanmaları kaçınılmazdır.”
Geniş Kapsamlı Kullanım Etkinliği
Bitdefender, araştırmacılarının gözlemlenen saldırganlar Khonsari adlı yeni bir fidye yazılımı ailesini dağıtmak için kusurdan yararlanmaya çalışıyor. Bu saldırı, yürütüldüğünde, güvenlik açığı bulunan bir sistemdeki tüm sürücüleri listeleyen ve belgeler, videolar ve indirmeler dahil olmak üzere belirli klasörleri şifrelediği C: sürücüsü dışında hepsini tamamen şifreleyen kötü amaçlı bir .NET dosyasının kullanılmasını içerir.
Bitdefender, fidye yazılımına ek olarak, saldırganların kurumsal ağlarda bir yer edinmeye ve savunmasız sistemlerde Orcus adlı bilinen bir uzaktan erişim Truva atı kurmaya çalıştığını gözlemledi.
O’Neill, “Ayrıca ters bash mermilerinde denemeler görüyoruz” diyor. “Bu teknik, saldırganlar tarafından daha sonra kullanılmak üzere sistemlerde bir dayanak elde etmek için kullanılır. Bu savunmasız sunuculara bir ters kabuk yerleştirmek nispeten basittir ve büyük olasılıkla gelecekte tam ölçekli bir saldırı ile takip edilebilir” diye uyarıyor.
Ayrıca, Bitdefender’a göre Muhstik adlı biri de dahil olmak üzere birkaç botnet, hem arka kapıları dağıtmak hem de botnet ağını genişletmek için savunmasız sunucuları aktif olarak hedefliyor. “Botnet etkinliğini izlemek, genellikle yeni bir girişimin ne kadar tehlikeli olduğuna dair iyi bir tahmindir. [remote code execution] gerçekten ve potansiyel saldırı ölçeği,” diyor O’Neill.
Uzaktan çalıştırılabilir Log4j kusuru – veya şimdiki adıyla Log4Shell – Java uygulamalarında hemen hemen her yerde kullanılan bir günlük kaydı çerçevesinde mevcut olduğu için yaygın bir alarma yol açtı. Güvenlik uzmanları, açıktan yararlanmanın nispeten kolay olması ve saldırganlara, güvenlik açığı bulunan bir uygulama çalıştıran herhangi bir sistemin tam kontrolünü ele geçirmeleri için bir yol sağladığından, kusurun özellikle rahatsız edici olduğunu düşünüyor.
Muazzam İndirme Hacmi
Sonatype tarafından yapılan yeni veri analizi, kayıt aracının yalnızca son dört ayda 28,6 milyon kez indirildiğini gösteriyor. Maven Merkez, Java bileşenleri için bir depo. Kasım 2021’de Log4j sürüm 2.x, depodaki yaklaşık 7,1 milyon yapıttan oluşan toplam popülasyondan indirmeler açısından en popüler %0,002’lik dilimde yer aldı. Yaklaşık 7.000 açık kaynak projesi bu güvenlik açığından etkileniyor.
Sonatype, “Bu o kadar yaygın bir kod parçası ki, Mars gezicisindeki Ingenuity helikopterinde bir yapı taşı bile” dedi.
Sonatype CTO’su Brian Fox, Apache Foundation’ın geçen hafta hatayı açıklamasından bu yana Log4j’nin sabit sürümlerinin en az 633.000 kez indirildiğini söylüyor. Sayı giderek artıyor, diyor. Buna rağmen, Log4j-core’un mevcut indirmelerinin %65’i, günlük kaydı aracının önceki, hatalı sürümlerini içerir.
Fox, “Bilinen savunmasız sürümlerin büyük miktarda indirildiğini hala görüyoruz” diyor Fox. “Bu konuya tüm dikkat gösterilmesine rağmen, pek çok kuruluş portföylerinin tamamının kullanımına ilişkin uygun görünürlükten yoksundur.”
Güvenlik ekipleri, ortamlarında Log4j’nin tüm kullanımını takip etmek için çabalarken, geliştiriciler ve üzerinde çalıştıkları yazılım yapıları genellikle ilerlemeye devam eder. “[That] Fox, dünya çapında toplam tüketimi izlerken gördüğümüz kullanımdır” diyor.
Saldırganlar için güvenlik açığı, dünya çapında milyarlarca cihaza saldırmak ve bunlardan ödün vermek için eşi benzeri olmayan bir fırsat sundu. Saldırı etkinliğini izleyen birkaç satıcıdan biri olan Akamai, Salı günü, saatte 250.000 istismar isteği içeren sürekli bir saldırı hacminde güvenlik açığından yararlanmaya çalışan birden fazla değişken gözlemlediğini söyledi. Akamai, şimdiye kadarki saldırıların %50’sinden fazlasının bilinen tehdit aktörlerinden olduğunu ve yeni istismar varyantlarının gelişme hızının benzeri görülmemiş olduğunu söyledi.
Bu arada Nesnelerin İnterneti güvenlik sağlayıcısı Armis, saldırı etkinliğinin %42’sinin sunuculara yönelik olduğunu ve bunun dörtte birinden fazlasının (%27) sanal makineleri hedef aldığını tespit etti. Armis’e göre, nispeten yoğun bir şekilde hedeflenen diğer cihazlar arasında PC’ler (%7) ve görüntüleme IP kameraları (%12) bulunur ve bu biraz sıra dışıdır.
Armis’ten yapılan araştırmalar, en azından şimdiye kadar, işletim teknolojisindeki ve programlanabilir mantık denetleyicileri (PLC’ler) ve bu ortamlardaki sistemleri yönetmek için insan makine arayüzü (HMI) cihazları gibi üretim ortamlarındaki cihazların nispeten daha az hedef alındığını gösteriyor. Güvenlik açığından yararlanma girişimi faaliyetinin ancak %2’si üretim PLC’lerini içeriyordu ve %1’i HMI’ları etkiledi.
Ancak endüstriyel kontrol sistemleri güvenlik satıcısı Dragolar
Güvenlik açığının, elektrik gücü, imalat, yiyecek ve içecek ve ulaşım dahil olmak üzere birçok sektördeki kuruluşları uzaktan saldırılara maruz bıraktığını söyledi. Bunun nedeni, Log4j’nin endüstriyel uygulamalarda kullanılan birçok açık kaynak deposunda bulunmasıdır. Örnek olarak Dragos, Süreç Kontrolü (OPC) Vakfı’nın Birleşik Mimari (UA) Java Mirası için Nesne Bağlama ve Gömme’ye işaret etti. Dragos, ayrıca, saldırganların tescilli denetim kontrolü ve veri toplama (SCADA) ve Java kullanan enerji yönetim sistemlerinde (EMS) Log4j güvenlik açığından yararlanabileceği konusunda uyardı.
Dragos’un tehdit istihbaratı başkan yardımcısı Sergio Caltagirone, “Log4j güvenlik açığı, suç grupları tarafından yaygın olarak kullanılmadan yaklaşık beş ila yedi gün önce olan diğer sıfır günlerin benzer bir istismar modeline sahip” diyor. “Elbette Java bir süredir siber suçlular için popüler bir programlama dili veya platformu değil ve bu nedenle biraz öğrenme eğrisi olacak.” Ancak savunmasız kurbanların sayısı göz önüne alındığında, bu gerçeğin saldırganları çok uzun süre caydırmasını beklemeyin.