Microsoft bu hafta kuruluşları, çeşitli saldırılar gerçekleştirmek için Apache Log4j günlük kaydı çerçevesinde yakın zamanda keşfedilen uzaktan kod yürütme (RCE) güvenlik açıklarının kullanımını genişletme konusunda tehdit aktörlerinin yüksek potansiyeli konusunda uyardı.
Şirket, güvenlik araştırmacılarının Aralık ayının son haftalarında kusurları hedef alan çok sayıda tarama faaliyeti ve istismar girişimi gözlemlediğini söyledi.
Ulus devlet aktörleri ve fidye yazılımı grupları dahil olmak üzere birçok saldırı grubu, saldırı kitlerine güvenlik açıkları için istismarlar ekledi ve bunları ters mermiler oluşturmak, uzaktan erişim araç setlerini bırakmak ve savunmasız sistemlere klavyeden uygulamalı saldırılar gerçekleştirmek için kullanıyor. Microsoft’un Log4j kusurları aracılığıyla dağıtıldığını gözlemlediği arka kapılar ve ters kabuklar arasında Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike ve PowerShell bulunur.
Microsoft’un güvenlik grubu Pazartesi günü yaptığı açıklamada, “Bu noktada müşteriler, ortamları için gerçek ve mevcut bir tehlike olarak açıklardan yararlanma kodunun ve tarama yeteneklerinin geniş kullanılabilirliğini varsaymalıdır.” bir blog girişine güncelleme şirket ilk olarak 11 Aralık’ta bir gönderi paylaştı. “Kuruluşlar, ortamlarının zaten tehlikeye girmiş olabileceğini fark etmeyebilirler.”
Apache Log4j, Java uygulamasının kullanıldığı hemen hemen her ortamda bulunan, yaygın olarak kullanılan bir açık kaynaklı günlük kaydı bileşenidir. Buna internete bakan sunucular, arka uç sistemleri ve ağ bileşenleri, üçüncü taraf uygulamalar, bu uygulamaları kullanan hizmetler, bulut ortamları ve endüstriyel kontrol sistemleri ve SCADA sistemleri dahildir.
9 Aralık’ta Apache Software Foundation kritik bir RCE (CVE-2021-44228) saldırganlara savunmasız sistemlerin tam kontrolünü ele geçirmeleri için nispeten önemsiz bir yol sağlayan bileşendeki güvenlik açığı. Açıklama, yaygın tarama etkinliği ve istismar girişimleri nedeniyle kuruluşların Log4j sürümlerini hızlı bir şekilde güncelleme ihtiyacı konusunda güvenlik uzmanlarından yaygın endişe ve acil uyarılara yol açtı. İlk kusurun açıklanmasından bir haftadan kısa bir süre sonra, Apache Vakfı Log4j’de ikinci bir kusuru açıkladı (CVE-2021-45046) ve birkaç gün sonra üçüncüsü (CVE-2021-45105).
Kusurun yaygın bir şekilde yaygın olması ve bundan kolaylıkla yararlanılabilmesi, çok çeşitli tehdit aktörlerinin ilgisini çekmiştir. İlk kusurun açıklanmasından bu yana geçen haftalarda, çok sayıda satıcı fidye yazılımı operatörlerini gözlemlediğini bildirdi; kripto para madencileri; İran, Türkiye ve Çin gibi ülkelerden ulus-devlet aktörleri; ve diğerleri kusurlardan yararlanmaya çalışıyor.
Kusurlardan yararlandığı gözlemlenen gelişmiş kalıcı tehdit (APT) aktörleri arasında, geçen yıl Exchange Server kusurları olarak adlandırılan ProxyLogon grubuna karşı sıfır gün saldırıları gerçekleştirmekten sorumlu olan Çin merkezli Hafnium grubu yer alıyor. Log4j kusurlarından yararlanan diğer APT aktörleri arasında İranlı bir fidye yazılımı operatörü olan Phosphorous ve Çin merkezli bir aktör olan Aquatic Panda yer alıyor. CrowdStrike engellendi Büyük bir akademik kuruluşa yönelik hedefli bir saldırının ortasında, ilk kusur ortaya çıktıktan birkaç gün sonra.
CrowdStrike’ın Falcon OverWatch tehdit avlama hizmetinin başkan yardımcısı Param Singh, CrowdStrike araştırmacılarının bu saldırıda, tehdit aktörünün kurban organizasyonun Windows ana bilgisayarında Linux komutlarını yürütmeye çalıştığını gözlemlediğini söyledi. Linux komutlarını yürütme girişimleri başarısız olduğunda, tehdit aktörü hızla Windows yerel hizmetlerini veya sözde arazi dışında yaşayan ikili dosyaları (LOLBins) kullanmaya geçti.
Singh, bu davranışın OverWatch tehdit avcılarının dikkatini çektiğini söylüyor. “Tehdit aktörünün Linux komutlarından Windows LOLBins’den yararlanmaya kadar kullandığı hızlı manevra ve taktik değişikliği, fırsatçı bir komut dosyası saldırısından ziyade etkileşimli uygulamalı klavye etkinliğinin göstergesidir.”
Yaygın Tarama Faaliyeti Devam Ediyor
Microsoft’a göre, tarama etkinliği şimdiye kadar gözlemlediği saldırı trafiğinin çoğunu oluşturuyor. Faaliyetlerin çoğu, güvenlik araştırmacılarından ve ağlarındaki kusurları arayan kırmızı ekiplerden geliyor. Ancak kusurları arayanlar arasında, Mirai gibi botnet operatörleri, kripto para madencilerini dağıtmak için savunmasız Elasticsearch sistemlerini hedefleyenler ve Linux sistemlerinde Tsunami arka kapısını dağıtmak isteyen saldırganlar da dahil olmak üzere tehdit aktörleri var.
Bu kampanyaların çoğunda saldırganlar hem güvenlik açığı bulunan Windows sistemleri hem de Linux sistemleri için eşzamanlı taramalar yürütüyor. Microsoft, saldırganların Linux sistemlerinde bash komutlarını ve Windows’ta PowerShell’i başlatmak için JDNI:ldap://’de bulunan Base 64 komutlarını kullandığını söyledi.
Microsoft ve diğer çok sayıda güvenlik uzmanı, kuruluşları ortamlarındaki Log4j güvenlik açıklarını belirlemek için tarama araçları ve komut dosyaları dağıtmaya çağırdı. Ancak güvenlik uzmanları, Java paketlemenin çalışma şekli nedeniyle, güvenlik açığının uygulamaların içinde birkaç katman derine gömülebileceğini ve tarayıcılar tarafından kolayca görülemeyebileceğini söyledi.
Rezilionörneğin, Log4j’nin iç içe olduğu ve çeşitli biçimlerde paketlendiği Java dosyalarını tespit etmede ne kadar etkili olabileceklerini görmek için yakın zamanda çok sayıda açık kaynak ve ticari tarama aracını test etti. Test ettiği tarama araçları arasında Google, Palantir, Aqua Security, Mergebase ve JFrog’dan olanlar vardı. Egzersiz, bazı tarayıcıların diğerlerinden daha iyi olmasına rağmen hiçbirinin Log4j’yi tüm formatlarda tespit edemediğini gösterdi.
Rezilion’un güvenlik açığı araştırma lideri Yotam Perkal, Rezilion’un testlerinden bu yana JFrog ve Mergebase araçlarını güncellediklerini söylüyor.
“Mergebase, PAR biçimi desteği ekledi ve JFrog, PAR ve ZIP desteği ekledi ve gölgeli JAR’lar için desteklerini geliştirdi” diye belirtiyor. “Kesin bir tahmin vermek zor olsa da, yerleştirme/gömme geliştiriciler arasında yaygın bir uygulamadır ve çoğu üretim ortamında iç içe kavanozlar görüyoruz, bu nedenle algılanmayan örneklerin olasılığı yüksek.”