Araştırmacılar, saldırganların Apache’nin Java tabanlı günlük kaydı aracı Log4j’de yeni duyurulan, kimliği doğrulanmamış uzaktan kod yürütme güvenlik açığından aktif olarak yararlandıkları konusunda uyarıyorlar. CVE-2021-44228’i azaltma işinin büyük kısmı uygulama sahiplerine ve yazılım geliştiricilerine düşse de, kurumsal güvenlik ekipleri de kuruluşlarını güvende tutmak için üzerine düşeni yapmalıdır.
Bu Teknik İpucu, henüz güncellemeleri olmayan, herhangi bir nedenle güncellemeleri hemen yükleyemeyen veya güncellemeleri hiç almayacak olan, etkilenen kurumsal güvenlik ekipleri için kısa vadeli hafifletmeler sağlar.
Şu senaryoyu düşünün: Bir satıcının Java ve Log4j’nin güvenlik açığı bulunan sürümünü kullanan bir finansal uygulaması var. Bu Java uygulamasına erişmek için istemci uygulamasını kullanan herhangi bir kuruluş, istemci muhtemelen Log4j’yi de kullandığından uzaktan kod yürütülmesine karşı savunmasızdır. Bu senaryoda, satıcının hem ana uygulamayı hem de istemciyi güncellemesini beklemesi gerektiğinden kuruluş daha zor bir konumdadır. Bu asla eski bir uygulama için olamaz.
Trustwave SpiderLabs kıdemli güvenlik araştırma müdürü Karl Sigler, “Etkilenen log4j sürümlerini kullanan ve ağ üzerinden erişilebilen herhangi bir Java uygulamasından yararlanılabilir ve bu uygulamaların çoğu büyük olasılıkla üçüncü taraflara aittir ve idari olarak kullanıcının elinde değildir” diyor.
Adım 1: Maruziyeti Tanımlayın
Potansiyel saldırı yüzeyi inanılmaz derecede büyük, diyor Vectra’da tehdit istihbaratı lideri Luke Richards. Randori’nin bir uygulaması var bu, log4j örneğinin savunmasız olup olmadığını kontrol etmeye yardımcı olur. JAR dosyalarının varlığını arayabilirsiniz. log4j-core-*.jar log4j’nin kullanımda olup olmadığını belirlemek için.
Güvenlik açığı (CVE 2021 44228), 2.14.1’den önceki Log4j sürümlerinde mevcuttur, bu nedenle güvenlik açığı bulunan sürümü kullanan tüm Java uygulamaları risk altındadır. Bir dizi Apache aracı savunmasızdır – Struts 2, Solr, Druid ve Fink – ancak sorun bu listenin çok ötesine geçiyor çünkü Java kuruluşta çok yaygın olarak kullanılıyor.
Log4j güvenlik açığına karşı toplam tarama sayısı bir günde üç kat arttı, BitDefender Laboratuvarları diyor. Rakamlar, Bitdefender’ın küresel bal küpü ağındaki telemetriye dayanmaktadır. Ekip, taramaların çoğunun Rusya merkezli IP adreslerinden geldiğini söylüyor.
Richards, ilk vektörün tespit edilmesinin de zor olduğunu çünkü belirli bir dizi için günlüklere bakmayı gerektirdiğini söylüyor. Richards, analizcilerin log4j sunucusuna gelen ham girdiye bakabileceğini ve tüm LDAP harici bağlantılarında uyarıda bulunabileceğini veya günlük sunucularından Java sınıfı dosyalarına harici bağlantılar arayabileceğini söylüyor. gibi metin alanlarındaki desenler Kullanıcı Aracısı: /${jndi:.*/ Richards, “sunucuları tehlikeye atma girişimlerinin açık belirtileridir” diyor.
Orca Security’nin kurucu ortağı ve CEO’su Avi Shua, kuruluşların hangi uygulamalarının savunmasız bileşeni kullandığını belirlemesi gerektiğini söylüyor. Bunu yapmanın bir yolu, sürekli bir tarama aracı kullanmaktır. Dışa dönük varlıklar engellenmelidir. Shua, “Bu güvenlik açığından yararlanılamayacağından emin olunmadıkça veya güncellenmiş bir sürüm yayınlanmadıkça, güvenlik açığı bulunan kitaplığı kullanan dışa dönük uygulamaları engellemenizi öneririz” diyor.
Yara kuralları potansiyel uzlaşma girişimleri aramak için de serbest bırakıldı.
Richards, potansiyel olarak log4j (örneğin, Apache Tomcat ve Struts) çalıştıran ana bilgisayarları bulmanızı ve izlemeyi ve takip etmeyi kolaylaştırmak için bunları bir gruba taşımanızı önerir.
Orijinal senaryoda, kuruluş LDAP’yi ve potansiyel olarak RMI ve CORBA’yı engelledi. Sigler, son kullanıcıların gruptaki diğer kişilerle güncelleme yapabileceğini söylüyor. Kuruluş, LDAP trafiğini (ve gelecekteki değişkenlere bağlı olarak potansiyel olarak RMI ve CORBA) engellemeli ve trafiği izlemelidir.
2. Adım: Azaltıcıları Uygulayın
SANS Enstitüsü Kıdemli Eğitmeni ve INFIGO Baş Teknik Sorumlusu Bojan Zdrnja, Java’nın en son sürümüne güncelleme, çünkü LDAP kullanılarak uzak bir kod tabanının yüklenmesini önleyeceğini söylüyor. “Mevcut sömürü mekanizması, Java’nın en son sürümü tarafından engelleniyor. com.sun.jndi.object.trustURLCodebase doğru,” diyor Zdrnja.
Eğer Log4j güncellenemiyor, sistem özelliğini ayarlama log4j2.formatMsgNoLookps veya çevresel değişken LOG4J_FORMAT_MSG_NO_LOOKUPS Java Sanal Makinesi’ni başlatırken true , güvenlik açığından yararlanılamaz hale getirir, Apache, danışma belgesinde şunları söylüyor:. Komut satırı seçeneği -Dlog4j2.formatMsgNoLookps=true . JVM bayrağını ayarlama (log4j2.formatMsgNoLookps=true) sınıf yolundaki bir component.properties dosyasında günlük olay mesajlarında arama yapılmasını da engeller.
Apache ayrıca JndiLookup sınıfının manuel olarak kaldırılmasını önerir. sınıf yolu (zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class) ile uzaktan kod yürütülmesine karşı koruma. Jndi Manager sınıfının kaldırılması, JndiContextSelector ve JMSAppender’ın artık çalışmamasına neden olur.
belirtme %marama yok PatternLayout yapılandırmasında, günlük olay mesajlarında arama yapılmasını önler.
Zdrnja, kuruluşun diğer bir seçeneğin de çevredeki giden trafiği kontrol etmesi ve mümkünse LDAP ve RMI trafiğini engellemesi olduğunu söylüyor.
3. Adım: Mevcut Korumaları Kullanın
Yukarıdaki yöntemler, güncellemelerin sonunda yaygınlaşacağını varsaymaktadır. Eski uygulamalar söz konusu olduğunda, herhangi bir güncelleme, güvenlik veya başka bir şey olmayacaktır. Kurucu ortak ve baş bilim adamı Arshan Dabirsiaghi, eski araçların “bir tür başka çalışma zamanı koruması kullanması gerektiğini” söylüyor. Kontrast Güvenliği. Uygulama düzeyinde bir RASP, belki de en sağlam olanıdır.
WAF’ler burada o kadar etkili değil çünkü modern mimarilerde girdi HTTP’den gelmeyebilir, yararlanma yolu bant dışı öğeler içerir ve bu saldırının çevrede engellenmesi aynı zamanda yanlış pozitifleri tetikleyebilir ve normal trafiği kesintiye uğratabilir, Dabirsiaghi diyor.
Bununla birlikte, Cloudflare yayınladı Güvenlik Duvarı için yeni imzalar uygulama düzeyinde kötü amaçlı etkinliği engellemek için. Kural, bir HTTP isteğinde ortak konumlarda jndi aramasını engeller. Diğer web uygulaması güvenlik duvarı satıcılarının da kısa süre içinde aynı şeyi yapması bekleniyor.
Editörün Notu: Bu parça, komut satırı kodundaki bir yazım hatasını düzeltmek için güncellendi.
4. Adım: Güncelle
Bu adımda tek bir şey var: Yamaları uygulayın ve mümkün olan en kısa sürede güncelleyin.