TEL AVIV – 12 Ocak 2022 – Bulutta yerel uygulama güvenliği test çözümlerinde bir teknoloji yenilikçisi olan Oxeye, bugün Ox4Shell’in tanıtımıyla ilk 2022 açık kaynak girişimini duyurdu. Güçlü ve ücretsiz açık kaynak yükü gizleme aracı, geliştiricilere, AppSec uzmanlarına ve açık kaynak topluluğuna yardımcı olmak için Oxeye tarafından geliştirilecek bir dizi çözümde ilktir. Ox4Shell, Log4Shell sıfırıncı gün güvenlik açığı olarak bilinen bazılarının “İnternet’in Covid-19” dediği şeyle yüzleşmek için tasarlanmıştır. Kötü niyetli aktörler tarafından kullanılan çok etkili bir şaşırtma taktiğine karşı koymak için Oxeye’nin yeni açık kaynak aracı (GitHub’da mevcuttur), güvenlik koruma araçlarını ve güvenlik ekiplerini karıştırmak için aktif olarak kullanılan gizli yükleri açığa çıkarır.
Uzmanlar tarafından bildirildiği üzere, küresel olarak kuruluşlar, yaygın Log4Shell güvenlik açığı nedeniyle uzaktan kod saldırıları ve hassas verilerin açığa çıkmasıyla karşılaşmaya devam ediyor. Apache’nin, web ve sunucu uygulama geliştiricileri tarafından yaygın olarak kullanılan bir günlük kaydı sistemi olan Log4J’de keşfedilen tehdit, metin mesajlarına veya günlük mesajı parametrelerine, ardından sunucu günlüklerine ve ardından kötü amaçlı kullanım için uzak bir sunucudan kod yükleyebilen sunucu günlüklerine metin enjekte etmeyi mümkün kılar. . Apache, Log4Shell’e mümkün olan en yüksek puan olan 10 üzerinden 10 CVSS önem derecesi vermiştir. O zamandan beri, araştırmacılar popüler H2 veritabanında benzer bir güvenlik açığı buldular. İstismarın yürütülmesi kolaydır ve yüz milyonlarca cihazı etkileyeceği tahmin edilmektedir.
Gartner Kıdemli Yönetici Analisti Jonathan Care’e göre, “Log4j güvenlik açığı son derece yaygındır ve kurumsal uygulamaları, gömülü sistemleri ve bunların alt bileşenlerini etkileyebilir. Cisco Webex, Minecraft ve FileZilla FTP dahil olmak üzere Java tabanlı uygulamaların tümü etkilenen programlara örnektir, ancak bu hiçbir şekilde kapsamlı bir liste değildir. Güvenlik açığı, olay günlüğü için Apache Log4j’yi kullanan Mars 2020 helikopter görevi Ingenuity’yi bile etkiliyor.”
2022 için yeni bir açık kaynak girişiminin parçası olarak, Oxeye, genellikle Log4J istismarlarıyla birleşen yükleri gizleyerek güvenlik çabalarını güçlendirmek için tasarlanmış bir dizi katkının ilkini açıklıyor. Ox4Shell, belirsiz yükleri ortaya çıkarır ve tehdit aktörlerinin neyi başarmaya çalıştıklarının net bir şekilde anlaşılmasını sağlamak için bunları daha anlamlı biçimlere dönüştürür. Bu, ilgili tarafların hemen harekete geçmesine ve güvenlik açığını çözmesine olanak tanır.
Log4j kitaplığında, kullanıcıların ortam değişkenlerini, Java işlem çalışma zamanı bilgilerini vb. aramasına izin veren birkaç benzersiz arama işlevi vardır. Bunlar, tehdit aktörlerinin hedefledikleri güvenliği ihlal edilmiş bir makineyi benzersiz bir şekilde tanımlayabilecek belirli bilgileri araştırmasını sağlar. Ox4Shell, kontrol ettiğiniz sahte verileri besleyerek bu tür arama işlevlerine uymanızı sağlar.
Log4Shell güvenlik açığına gerekli yamayı uygulamadaki zorluklar, bu istismarın şimdi ve gelecekte kötü niyetli saldırılar için boşluklar bırakacağı anlamına geliyor. Oxeye Araştırma Başkanı Daniel Abeles, “Gizleme tekniklerini faydalı yüklere uygulama yeteneği, böylece güvenlik önlemlerini atlamak için kurallar mantığını atlatmak, uygun çözüm uygulanmadığı sürece bunu önemli bir zorluk haline getiriyor” dedi. Gizleme kaldırma, saldırganların gerçek niyet(ler)ini anlamak için kritik olacaktır. Ox4Shell, bunu ele almak için güçlü bir çözüm sunuyor ve açık kaynak topluluğunun bir destekçisi olarak, katkıda bulunmaktan ve GitHub aracılığıyla kullanıma sunmaktan gurur duyuyoruz.”
kullanılabilirlik
Ox4Shell, GitHub’da genel olarak ücretsiz olarak kullanılabilir. Oxeye, daha fazlasını öğrenmek isteyen geliştiricileri ve güvenlik uzmanlarını ziyaret etmeye davet ediyor https://www.oxeye.io/ox4shell-deobfuscate-log4shell veya yazılımı indirmek için https://github.com/ox-eye/Ox4Shell. Tam Oxeye Bulut Yerel Uygulama Güvenlik Testi (CNAST) platformunun kişiselleştirilmiş bir demosunu planlamak için lütfen adresini ziyaret edin. https://www.oxeye.io/get-a-demo.
Kaynaklar:
– Oxeye’ı Twitter’da @OxeyeSecurity’de takip edin
– LinkedIn’de Oxeye’a katılın https://www.linkedin.com/company/oxeyeio/
– Oxeye’ı çevrimiçi olarak şu adresten ziyaret edin: http://www.oxeye.io
Okseye Hakkında
Oxeye, modern mimariler için özel olarak tasarlanmış, bulutta yerel bir uygulama güvenliği testi çözümü sunar. Şirket, müşterilerin yazılım geliştirme yaşam döngüsünün ayrılmaz bir parçası olarak en kritik kod güvenlik açıklarını belirlemelerini ve çözmelerini sağlayarak, hiçbir savunmasız kodun üretime asla ulaşmamasını sağlayan bağlamsal, zahmetsiz ve kapsamlı bir çözüm sunarak geleneksel uygulama güvenliği testi (AST) yaklaşımlarını bozar. . Geliştirme ve AppSec ekipleri için tasarlandı Oxeye, geliştirme döngülerini hızlandırırken, sürtünmeyi azaltırken ve riskleri ortadan kaldırırken güvenliğin sola kaydırılmasına yardımcı olur.
