Dört aydan uzun bir süre önce Apache Log4j günlük kaydı aracında açıklanan kritik uzaktan kod yürütme güvenlik açığından yararlanmak isteyen saldırganların hâlâ peşinden gidecek çok sayıda hedefi var.
Shodan arama motorunu kullanan yakın tarihli bir taramada Rezilion, yazılımın savunmasız bir sürümünü içeren 90.000’den fazla İnternete açık sunucu buldu. Güvenlik satıcısı, yalnızca açık kaynaklı yazılım çalıştıran halka açık sunucuları dikkate aldığından, sayının mevcut saldırgan hedeflerinin yalnızca küçük bir bölümünü temsil ettiğine inanıyor. Dahili ağ sunucuları ve tescilli uygulamaları çalıştıran sunucular hesaba katılırsa, toplam savunmasız hedefler muhtemelen çok daha yüksekdedi Rezilion.
Bu hafta, çalışmasının sonuçlarını özetleyen bir Rezilion raporu, şirketin vardığı sonucu desteklediği görünen diğer veri noktalarına işaret etti.
Bunlar arasında, adı verilen bir Google açık kaynak tarama hizmetinden gelen veriler vardır. Açık Kaynak İçgörüleriBu, kusur açıklandığından beri toplam etkilenen 17.840 paketten yalnızca 7.140 Java paketinin Log4Shell için yamalandığını gösterdi. Bir diğeri veri noktası Sonatype, 20 Nisan 2022 itibariyle, Maven Central Java uygulama deposundan aktif olarak indirilen Log4j sürümlerinin yaklaşık %36’sının hala Log4Shell’e karşı savunmasız olduğunu buldu – bu sayı Şubat ayından bu yana büyük ölçüde değişmeden kaldı.
Rezilion güvenlik açığı araştırması direktörü Yotam Perkal, “Diğer yüksek profilli güvenlik açıklarına benzer şekilde, dört ay geçmesine rağmen, Log4Shell’e karşı savunmasız olan büyük bir saldırı yüzeyi var” diyor. “Genel olarak erişilebilen 90.000 güvenlik açığı bulunan sunucu, gerçek savunmasız saldırı yüzeyi açısından muhtemelen buzdağının sadece görünen kısmıdır.”
Apache Foundation, Log4Shell güvenlik açığını açıkladı (CVE-2021-44228) ile birlikte 9 Aralık 2021’de yazılımın güncellenmiş ve sabit bir sürümüyle birlikte. Kusur hemen hemen her Java uygulama ortamında mevcuttur, istismar edilmesinin çok kolay olduğu kabul edilir ve saldırganlara savunmasız sistemler üzerinde tam kontrol elde etme yolu sunar. Pek çok güvenlik uzmanı, kusurun son hafızada ifşa edilmesi en tehlikeli olanlardan biri olduğunu düşünüyor ve kuruluşları, yazılımın güncellenmiş ve sabit sürümünü mümkün olan en kısa sürede yüklemeye çağırdılar.
Yüksek endişelere rağmen, büyük bir ihlalde açıktan yararlanıldığına dair kamuya açıklanmış çok az örnek var. Bununla birlikte, çoğu durumda saldırganların kurumsal ağlara erişmek için kusurdan sessizce yararlanmış olabileceğine ve saldırmak için uygun bir anı beklediklerine dair önemli korkular var.
Güvenlik uzmanları, şu ana kadarki yavaş düzeltme hızının olası nedenleri olarak, kusurun her yerde bulunmasına ve kusuru içeren Java dosyaları bazen uygulamaların derinlerine gömülebilir.
Rezilion, bir sorunun, birçok kişinin farkında olmadan Log4j’nin savunmasız sürümlerine dayanan yazılımları kullanmasının, çünkü yazılım bileşenlerini görmemeleri veya savunmasız üçüncü taraf yazılımları kullanmaları olduğunu söyledi. Log4j kusurunun üretim ortamlarında tespit edilmesinin zor olduğu da kanıtlanmıştır.
Buzdağının zirvesi?
Perkal, Rezilion’un bir Shodan araması yoluyla bulduğu 90.000 güvenlik açığı bulunan sunucunun, Log4j’nin eski ve dolayısıyla potansiyel olarak savunmasız sürümleri olan açık kaynaklı bileşenler içerdiğini söylüyor; önceki, olası güvenlik açığı bulunan sürümlerin kullanımının kanıtını içeren güncel Log4j sürümlerine sahip bileşenler; ve savunmasız Log4j sürümleriyle halka açık Minecraft sunucuları.
Perkal, “Muhtemelen bu uygulamaları dahili ağlarda çalıştıran çok sayıda sunucu vardır ve bu nedenle Shodan aracılığıyla herkes tarafından görülemez” diyor. “Log4j’nin savunmasız sürümlerini çalıştıran ticari ürünlerin yanı sıra tescilli uygulamaların da olduğunu varsaymalıyız.”
Açıkta kalan tüm açık kaynak bileşenleri, Log4j ile ilgisi olmayan önemli sayıda ek güvenlik açığı içeriyordu. Ortalama olarak, güvenlik açıklarının yarısının 2020’den önce açıklandığını ancak açık kaynak bileşenlerinin “en yeni” sürümünde hala mevcut olduğunu söylüyor. Rezilion’un analizi, birçok durumda açık kaynak bileşenlerine yama uygulandığında, yama uygulanmış sürümün Docker Hub gibi platformlar aracılığıyla kullanıma sunulmasının 100 günden fazla sürdüğünü gösterdi.
Logpoint’in profesyonel hizmetler başkanı Nicolai Thorndahl, Log4j birçok uygulamada oturum açmak için kullanılsa da, yazılım sağlayıcılarının varlığını her zaman yazılım notlarında açıklamadığı için kusur tespitinin birçok kuruluş için bir zorluk olmaya devam ettiğini söylüyor. Thorndahl, “Dolayısıyla birçok şirket, sistemlerinde kullanılıp kullanılmadığını gerçekten bilmiyor” diyor.
Çoğu uygulama, artık desteklenmeyen ve savunmasız olan eski Log4j sürümlerini kullanıyor. “Eğer varsa, çok az sayıda şirketin bir [configuration management database] Log4j’yi nerede kullandıklarını gösterecek kadar ayrıntılı” diyor.
Thorndahl, şimdiye kadar çok az sayıda olmasına rağmen, kusurdan yararlanan daha fazla saldırı olacağını umuyor.
“Büyük olasılıkla ileride göreceğimiz şey, belki dört ay, belki bir yıl, daha önce gördüğümüz gibi, olayların açıklanacağıdır. [where] şirketler ihlal edildiklerini ve Log4j güvenlik açığının kullanıldığını tespit etti ve muhtemelen uzun bir süre erişimleri oldu” diyor.