Log4j: Ne Kadar Sarhoşuz?

Dec 15 2021

Pekala, kesinlikle siber fiyaskolar için bir yıl oldu, bu yüzden, elbette, neden internetteki hemen hemen her şeyi etkileyen güzel, kalın bir güvenlik açığıyla işleri birleştirmiyorsunuz? Bu kulağa doğru geliyor.Kısacası, Apache log4j hatası kötü.

Pekala, kesinlikle siber fiyaskolar için bir yıl oldu , bu yüzden, elbette, neden internetteki hemen hemen her şeyi etkileyen güzel, kalın bir güvenlik açığıyla işleri birleştirmiyorsunuz? Bu kulağa doğru geliyor.

Kısacası, Apache log4j hatası kötü . Amerika'nın Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın direktörü Jen Easterly'ye göre, “tüm kariyerinde” gördüğü “en ciddilerinden biri”. Yakın zamanda medyaya yansıyan bir haberde, Easterly gazetecilere , federal yetkililerin “zafiyetin gelişmiş aktörler tarafından geniş çapta istismar edilmesini” tamamen beklediğini söyledi ve CISA'nın güvenlik açığı yönetim ofisinden meslektaşı Jay Gazlay, yardımcı bir şekilde, hatanın muhtemelen "yüzlerce kişiyi etkilediğini" söyledi . milyonlarca cihaz.”

DAHA: Web3 Nedir ve Neden İlgilenmelisiniz?

Sıradan web kullanıcıları tüm bu durum hakkında pek bir şey yapamasa da, neler olup bittiğini bilmek yardımcı olabilir. İşte tüm korkunçluğun hızlı bir özeti.

Etkilenen program, Apache'nin log4j'si, birçok şirketin kullandığı ücretsiz ve açık kaynaklı bir günlük kitaplığıdır. Günlüğe kaydetme kitaplıkları , programların nasıl çalıştığını kaydetmek için mühendisler tarafından uygulanır; kod denetimine izin verirler ve hataları ve diğer işlevsellik sorunlarını araştırmak için rutin bir mekanizmadır. log4j ücretsiz ve yaygın olarak güvenilir olduğundan, büyük ve küçük şirketler onu her türlü şey için kullanıyor. İroni, elbette, bu hata kontrol aracının artık bir hatası olması.

Güvenlik araştırmacıları , güvenlik açığını "Log4Shell" olarak adlandırmaya başladılar, çünkü uygun şekilde yararlanma, bir sunucunun sistemine kabuk erişimi ("uzaktan kod erişimi" olarak da adlandırılır) ile sonuçlanabilir. Bu arada resmi tanımı CVE-2021-44228'dir ve Ortak Güvenlik Açığı Puanlama Sistemi ölçeğinde 10 önem derecesine sahiptir - görünüşe göre alabileceğiniz en kötü şey. İlk olarak 9 Aralık'ta, bir haftadan kısa bir süre önce, Alibaba'nın Bulut Güvenliği ekibinin bir üyesi olan Chen Zhaojun tarafından tespit edildikten sonra kamuoyuna açıklandı.

Teknik olarak konuşursak, bu hata bir sıfır günlük uzaktan kod yürütme güvenlik açığıdır; bu, "saldırganların hedeflenen sunucularda komut dosyalarını indirmesine ve çalıştırmasına izin vererek, onları uzaktan kontrolü tamamlamak için açık bırakır" anlamına gelir . güvenlik açığı. Ayrıca istismar edilmesi oldukça kolaydır - suçluların bir sürü soruna neden olmak için fazla bir şey yapması gerekmez.

Log4j'nin her yerde bulunması nedeniyle, internetteki en büyük platformların çoğu fiyaskoyla bağlantılı. Kimin etkilendiğini ve kimin etkilenebileceğini gösterme iddiasında olan, yayınlanmış birden çok liste var , ancak bu noktada, tamamen kapsamlı bir muhasebe, Don Kişotvari bir hırs gibi görünüyor. Çeşitli raporlara göre, etkilenenler arasında Apple, Twitter, Amazon, LinkedIn, CloudFlare ve daha fazlası gibi büyük isimler var.

Katılımlarını kesin olarak onaylayan şirketler, sık sık ürün ve hizmetlerinin yamalanmaya ihtiyaç duyduğunu bildirdi. Örneğin bulut bilişim firması VMWare, ürünlerinin 44'ünün etkilendiğini bildiriyor . Ağ devi Cisco , araçlarının 35'inin savunmasız olduğunu söylüyor . Önde gelen bir siber güvenlik şirketi olan Fortigard, kısa süre önce en az bir düzine ürününün etkilendiğini açıkladı. Liste uzayıp gidiyor.

Amazon açıkçası bu listedeki en büyük şirketlerden biri. Teknoloji devi, ürünleri ve hizmetleriyle ilgili güncellemeleri düzenli olarak yayınlarken (bunlardan epeyce var gibi görünüyor), bu arada Apple ise kısa süre önce iCloud'un hatadan etkilendiğini ve ardından kendisini düzelttiğini doğruladı . Blackberry, Dell, Huawei ve Citrix gibi teknoloji devlerinin yanı sıra SonicWall, McAfee, TrendMicro, Oracle, Qlik ve daha birçokları gibi önde gelen teknoloji firmaları da dahil olmak üzere diğer şirketler hala kandırılıp kandırılmadıklarını araştırıyor .

Ancak böcek aynı zamanda teknolojinin dışına ulaşma ve bu tür problemlerle doğal olarak ilişkilendirmeyeceğiniz sektörlerle uğraşma potansiyeline de sahip. Güvenliği operasyonel ve endüstriyel sistemlerle ilgili olarak analiz eden Dragos, son zamanlarda şunları yazdı :

Yani, bu kötü haber. Güzel haberler? JK, hiç iyi haber yok. Bunun yerine, daha kötü haberler var: Bu büyük güvenlik açığı, siber suçlu ordularının kitlesel istismar girişimlerini şimdiden görüyor. İnternetteki güvenlik araştırmacıları, gördükleri aktivite hakkında raporlar yayınlamaya başladılar - ve bu özellikle hoş değil.

Sorunun büyük bir kısmı, çoğu suçlunun log4j güvenlik açığını herkesle aşağı yukarı aynı zamanda öğrenmiş görünmesidir. Bu nedenle, savunmasız sistemler ve platformlar üzerindeki istismar girişimleri geçen haftadan bu yana katlanarak arttı - web'deki bilgisayar korsanları bu benzersiz korkunç durumdan kuduz bir şekilde yararlanmaya çalışıyorlar. Siber güvenlik firması Check Point kısa süre önce , hatayla ilgili ilk açıklamalardan bu yana bir istismar girişimi patlaması gözlemlediğini gösteren veriler yayınladı . Rapor şunları not ediyor:

Siber güvenlik firması Dragos'ta Tehdit İstihbaratı Başkan Yardımcısı Sergio Caltagirone, Gizmodo'ya bu tür faaliyetlerin kurs için oldukça uygun olduğunu söyledi. “Fidye yazılımının eninde sonunda log4j güvenlik açığından faydalanması çok muhtemel ve bekleniyor. Özellikle savunmasız sistemler, sunucular gibi kritik varlıklar olduğu için” dedi.

Gerçekten de siber güvenlik firması Bitdefender, Salı günü, "Khonsari" olarak bilinen yeni bir fidye yazılımı ailesi tarafından savunmasız makinelerde istismar girişimlerini gösteren bir araştırma yayınladı . Araştırmaya göre, Khonsari fidye yazılımı bilgisayar korsanları Microsoft sistemlerini hedef alıyor ve geride fidye notları bırakıyor.

Ve fidye yazılımları başlıca endişelerden biri olsa da, diğer siber güvenlik uzmanları gördükleri çok çeşitli açıklardan yararlanma girişimleri hakkında yazılar yazdılar - bunların benzerleri kripto madenciliği ve botnet kurulumlarından daha fazla keşif türü faaliyetlere kadar geniş bir yelpazeyi çalıştırıyor. genel taramalar ve Cobalt-Strike işaretçilerinin konuşlandırılması.

Çoğu durumda, bu saldırılar hızlı ve öfkeli geliyor gibi görünüyor. "Saniyede 1.000'den fazla istismar girişimi görüyoruz. Ve yükler daha korkutucu hale geliyor. Fidye yazılımı yükleri son 24 saat içinde yürürlüğe girdi," diye tweet attı Cloudflare CEO'su Matthew Prince ve görünüşe göre istismar faaliyetlerini izliyor.

Daha da kötüsü, bu hafta CVE-2021-45046 olarak adlandırılan ikinci bir güvenlik açığı keşfedildi. LunaSec'teki araştırmacılar, daha önce yama uygulanmış sistemlerin hala en son hatadan etkilenebileceğini ve Apache'nin riskleri azaltmak için bir güncelleme yayınladığını söyledi.

Sıradan bir web kullanıcısıysanız, bu noktada gerçekten yapabileceğiniz tek şey, istendiğinde cihazlarınızı ve uygulamalarınızı güncellemek ve güvendiğiniz platformların güvenlik açıklarını tespit etmek, yamalar oluşturmak için yeterince hızlı olmasını ummaktır. ve güncellemeleri dışarı itin. Kısacası: Orada kalın, millet.