Güvenlik uzmanları, Java yazılımında her yerde bulunan bir günlük kaydı çerçevesi olan Log4j’deki kritik yeni bir sıfırıncı gün güvenlik açığına karşı beş alarmlı bir yangının eşdeğerini söylüyorlar.
kusur (CVE-2021-44228) uzak saldırganların Log4j kullanan ve halihazırda aktif olarak istismar edilmekte olan herhangi bir uygulamada rastgele kod çalıştırmasına izin verebilir. Bazı satıcılar, savunmasız uygulamalar için – muhtemelen tehdit aktörleri tarafından – toplu tarama faaliyeti gözlemledi ve kuruluşlara karşı bazı istismar faaliyeti raporları var. Kusurlara yönelik saldırıların yürütülmesi çok az beceri gerektirir ve vahşi doğada kavram kanıtı koduyla desteklenir.
Kitle kaynaklı güvenlik açığı açıklama platformu Bugcrowd’un kurucusu ve CTO’su Casey Ellis, “Bu en kötü durum senaryosu” diye uyarıyor. Log4j’nin yazılım ve platformlarda her yerde yaygın kullanımı, güvenlik açığından yararlanmak için mevcut sayısız yol, diğer şeyleri bozmadan düzeltme ekini zorlaştıracak bağımlılıklar ve istismarın kendisinin bir tweet’e sığması, bunu böyle yapıyor. diyor.
Ellis, “Birçok insan için uzun bir hafta sonu olacak,” diyor.
Kusur, Log4j’nin 2.0-beta9’dan 2.14.1’e kadar tüm sürümlerini etkiler. Apache Foundation, ona maksimum önem derecesini 10 olarak atamıştır ve güncellenmiş bir sürüm yayınladı
sorunu gideren yazılımın (Log4j 2.15.0) Vakıf ayrıca Log4j sürüm 2.10 ve sonraki sürümleri için kuruluşların güvenlik açığı yoluyla uzaktan kod yürütülmesine karşı koruma sağlamak için uygulayabilecekleri bir azaltma önlemi yayınladı.
Cuma günü yayınlanan bir blogda, sonatip
yeni Log4j kusurunu, Equifax’taki büyük ihlalin temel nedeni olan Apache Struts’taki (CVE-2017-5638) kötü şöhretli 2017 uzaktan kod yürütme güvenlik açığından bile daha kötü olarak nitelendirdi. Bu kusurla birlikte, saldırganların dünya çapındaki kuruluşları sömürmeye başlaması iki günden kısa sürdü.
Sonatype, Log4j’nin çok daha yaygın olarak kullanılması nedeniyle, yeni açıklanan güvenlik açığının Struts güvenlik açığından potansiyel olarak daha geniş kapsamlı olduğunu söyledi.
Sonatype CTO’su Brian Fox, e-postayla gönderilen bir açıklamada, “Etki, Equifax’ı etkileyene benzer önceki Struts güvenlik açıklarıyla karşılaştırılabilir, çünkü saldırılar uzaktan, oturum açma kimlik bilgileri olmadan anonim olarak yapılabilir ve uzaktan istismara yol açabilir” dedi. “Buradaki kapsam ve potansiyel etki kombinasyonu, kolayca hatırlayabildiğim önceki herhangi bir bileşen güvenlik açığına benzemiyor.”
NSA’nın GHIDRA tersine mühendislik aracı bile tehditten muaf değil. İçinde cıvıldamak NSA’nın Siber Güvenlik Direktörlüğü direktörü Cuma günü paylaştığı bir paylaşımda, Log4j güvenlik açığının GHIDRA dahil olmak üzere yazılım çerçevelerine yaygın olarak dahil edilmesi nedeniyle istismar için önemli bir tehdit oluşturduğunu söyledi.
NSA’nın siber güvenlik direktörü Rob Joyce, “Bu, yazılım malzeme listesi (SBOM) kavramlarının maruziyeti anlamak için neden bu kadar önemli olduğuna dair bir vaka çalışmasıdır” diye yazdı.
Apache Foundation, güvenlik açığının, saldırgan denetleyici LDAP sunucularına ve diğer uç noktalara karşı koruma sağlamak için yapılandırmada, günlük iletilerinde ve parametrelerde kullanılan Java Adlandırma ve Dizin Arabirimi’ndeki (JNDI) belirli özelliklerin başarısız olmasına bağlı olduğunu söylüyor. Sonuç olarak, günlük mesajlarını veya günlük mesajı parametrelerini kontrol edebilen bir saldırgan, belirli bir mesaj arama davranışı etkinleştirildiğinde LDAP sunucularından yüklenen kötü amaçlı kodu çalıştırabilir. Log4j’nin güncellenmiş sürümü bu davranışı varsayılan olarak devre dışı bırakmıştır.
Digital Shadows’ta tehdit istihbarat analisti Chris Morgan, güvenlik açığının son derece yüksek riskli göründüğünü söylüyor.
“Yüksek düzeyde, bu hata, bir saldırganın kötü niyetli bir yük sunmasına izin verir. [and] güvenlik açığını tetiklemek için yükü kullanın ve ardından rastgele kod yürütmek için saldırının ikincil bir aşamasını enjekte edin” diyor.
Etkilenen cihazların ölçeği ve hatanın kullanılabilirliği göz önüne alındığında, hem siber suçluların hem de ulus devletle ilişkili aktörlerin büyük ölçüde dikkatini çekmesi muhtemeldir.
Morgan, “Kuruluşların 2.15.0 sürümüne güncelleme yapmaları ve hassas uygulamalarla ilişkili günlüklere ek dikkat göstermeleri önerilir” diyor.
Contrast Security’nin kurucu ortağı ve baş bilim adamı Arshan Dabirsiaghi, Log4j’de yeni açıklanan sorunun son yıllardaki en büyük Java güvenlik açığı olduğunu söylüyor. Kuruluşlar, kusurun ortamlarındaki potansiyel etkisini değerlendirmeli ve tehdidi nasıl azaltacaklarını düşünmelidir. Özellikle videolar ve kavram kanıtı kodu zaten herkese açık olduğundan, güvenlik açığından yararlanmanın kolay olduğunu değerlendiriyor.
Kuruluşlar için, güvenlik açığı, bir seferde bir uygulamayı hafifletmek için yeterince kolaydır, ancak bunu geniş ölçekte yapmak oldukça zordur.
Dabirsiaghi, “Şirketler, uygulama portföyleri tarafından fiilen kullanılan bağımlılıklarının canlı bir görünümüne ihtiyaç duyarlar” diyor. “Bu, onların iki şey yapmalarını sağlar: sorunlu kitaplığı kullanan belirli geliştiricileri uyarmak ve bunu kuruluşlarından kaldırmaya karşı ilerlemelerini ölçmek.”