Log4j alarmı: BT güvenlik uzmanlarının önerdiği şey bu 

16. 2021. Dezember XNUMX Aralık XNUMX
| Yorum yok
Log4j Log4kabuk

Gönderiyi paylaş

BT güvenlik uzmanları, BSI'nın kırmızı uyarı düzeyi ilan ettiği log4j güvenlik açığı hakkında yorum yapıyor. Barracuda Networks, Radar Cyber ​​​​Security ve ForeNova'dan uzmanlar durum hakkında bir değerlendirme sağlıyor.

Barracuda Networks'te kıdemli güvenlik araştırmacısı Jonathan Tanner

Barracuda Networks Kıdemli Güvenlik Araştırmacısı Jonathan Tanner: "Bu güvenlik açığı uzaktan kod yürütülmesine izin verdiği için riskler oldukça yüksek." (Resim: Barracuda Networks).

Şirketler teknolojilerindeki bu güvenlik açığını nasıl tespit edebilir ve düzeltilmezse riskleri nelerdir?

“Öncelikle, bağımlılıklarda da 4'dan önceki bir log2.15.0j sürümünün kullanılıp kullanılmadığını kontrol etmelisiniz. Her ikisi de Java tabanlı yapı yönetimi araçları olan Maven ve Gradle, bir proje için tüm bağımlılık ağacını yazdırma yeteneği sağlar. Bu şekilde log4j'nin savunmasız bir sürümünün kullanılıp kullanılmadığı belirlenebilir. 2.15.0 veya sonraki sürümlerde bile, formatMsgNoLookups sistem özelliğinin 'true' olarak ayarlanmadığından emin olun.

Bu sürümün savunmasız olmamasının tek nedeni, varsayılan değeri true'dan false'a ayarlamış olmasıdır. Log4j'nin bazı sürümlerinde, güvenlik açığını azaltmak için bu özellik manuel olarak kolayca yanlış olarak ayarlanabilir. Uygulama meşru kullanımının bir parçası olarak LDAP gerektirmiyorsa, güvenlik açığından yararlanılması durumunda uzak koda ulaşılmasını önlemek için tüm LDAP trafiğini bir güvenlik duvarı veya web uygulaması filtresiyle engellemek de mümkündür.

Ancak bunlar yalnızca log4j'nin bu RCE güvenlik açığından yararlanıp yararlanamayacağını kontrol eder. Bir sistemin bir saldırıya karşı gerçekten savunmasız olup olmadığı, HeartBleed'in sahip olduğu güvenlik açıkları gibi tek bir test olmadan çok daha karmaşık bir konudur. Saldırganın bu güvenlik açığından yararlanabilmesi için bir günlük enjeksiyon saldırısı gerçekleştirmesi gerekir. Bunları bulmak çok daha karmaşık bir süreçtir, ancak temel olarak bir kullanıcının (veya potansiyel saldırganın) girişinin kaydedildiği herhangi bir yer bu saldırıya karşı savunmasız olabilir.

Bu nedenle, gerçek bir RCE'yi test etmek için, kullanıcı bağlamından günlükler içinde bir JNDI LDAP isteği yapmanın bir yolunu bulmaya çalışmak gerekir (örneğin, potansiyel olarak etkilenen uygulama bir web uygulamasıysa, web sitesi veya API aracılığıyla). Bu güvenlik açığı uzaktan kod yürütülmesine izin verdiği için riskler oldukça yüksektir. Saldırgan potansiyel olarak ağa girebilir ve oradan önemli kaynaklara ve verilere erişmeye çalışabilir.”

Açık kaynak bu güvenlik açığında nasıl bir rol oynadı ve log4j gibi araçları kullanan kuruluşlar için en önemli güvenlik konuları nelerdir?

"log4j çok popüler bir açık kaynak kitaplığı olduğundan, savunmasız uygulamaların sayısı kesinlikle daha fazlaydı. Genel olarak, herhangi bir yazılım saldırılara karşı savunmasız olabilir ve popüler açık kaynaklı yazılımlar genellikle güvenlik tehditlerini arayan ve düzelten geniş bir ekosisteme sahiptir. Açık kaynaklı yazılımlar, büyük güvenlik açıkları bulunduğunda manşetlerin çoğunu kapsa da, bu, orantılı olarak daha az güvenli olduğu anlamına gelmez (aslında, muhtemelen özel koddan veya daha az popüler kitaplıklardan çok daha güvenlidir). Yaygın dağıtım, yalnızca güvenlik açıklarının bulunma olasılığını artırır, var olma olasılığını artırmaz.

Şirketler açık kaynak kütüphaneleri ararken yukarıdaki sebeplerden dolayı log4j gibi büyük, saygın ve bakımlı projeleri seçmelidir. Elbette hala güvenlik açıkları olabilir, ancak topluluğun bu güvenlik açıklarını bulup düzeltmesi ve ayrıca kodun daha ilk etapta güvenlik açıklarına neden olabilecek hatalardan arınmış olduğunu doğrulaması, daha küçük projelere göre daha olasıdır.

Uygulamaları CVE-2021-44228'e karşı savunmasız olmayan veya günlük kaydı için log4j kullanmayanlar için bile bu güvenlik açığı, kesinlikle günlük enjeksiyonun saldırganların kullanabileceği potansiyel bir yöntem olduğu konusunda bir uyandırma çağrısıdır. Hangi kayıt sistemi ve hatta programlama dili kullanılırsa kullanılsın, kaydedilen tüm kullanıcı girdilerinin her uygulamada uygun şekilde sterilize edilip edilmediğini kontrol etmeye değer. Diğer enjeksiyon biçimleri çok daha yaygın ve ilgi odağı olsa da, log enjeksiyonu hala bir enjeksiyon saldırısı biçimidir ve bu nedenle OWASP İlk 10 güvenlik açığı kapsamına girmektedir.

Şirketler teknolojilerindeki bu güvenlik açığını nasıl tespit edebilir ve düzeltilmezse riskleri nelerdir?

“Öncelikle, bağımlılıklarda da 4'dan önceki bir log2.15.0j sürümünün kullanılıp kullanılmadığını kontrol etmeniz gerekiyor. Her ikisi de Java tabanlı yapı yönetimi araçları olan Maven ve Gradle, bir proje için tüm bağımlılık ağacını yazdırma yeteneği sağlar. Bu şekilde log4j'nin savunmasız bir sürümünün kullanılıp kullanılmadığı belirlenebilir. 2.15.0 veya sonraki sürümlerde bile, formatMsgNoLookups sistem özelliğinin 'true' olarak ayarlanmadığından emin olun. Bu sürümün savunmasız olmamasının tek nedeni, varsayılan değeri true'dan false'a ayarlamış olmasıdır.

Log4j'nin bazı sürümlerinde, güvenlik açığını azaltmak için bu özellik manuel olarak kolayca yanlış olarak ayarlanabilir. Uygulama meşru kullanımının bir parçası olarak LDAP gerektirmiyorsa, güvenlik açığından yararlanılması durumunda uzak koda ulaşılmasını önlemek için tüm LDAP trafiğini bir güvenlik duvarı veya web uygulaması filtresiyle engellemek de mümkündür. Ancak bunlar yalnızca log4j'nin bu RCE güvenlik açığından yararlanıp yararlanamayacağını kontrol eder. Bir sistemin bir saldırıya karşı gerçekten savunmasız olup olmadığı, HeartBleed'in sahip olduğu güvenlik açıkları gibi tek bir test olmadan çok daha karmaşık bir konudur.

Saldırganın bu güvenlik açığından yararlanabilmesi için bir günlük enjeksiyon saldırısı gerçekleştirmesi gerekir. Bunları bulmak çok daha karmaşık bir süreçtir, ancak temel olarak bir kullanıcının (veya potansiyel saldırganın) girişinin kaydedildiği herhangi bir yer bu saldırıya karşı savunmasız olabilir. Bu nedenle, gerçek bir RCE'yi test etmek için, kullanıcı bağlamından günlükler içinde bir JNDI LDAP isteği yapmanın bir yolunu bulmaya çalışmak gerekir (örneğin, potansiyel olarak etkilenen uygulama bir web uygulamasıysa, web sitesi veya API aracılığıyla).

Bu güvenlik açığı uzaktan kod çalıştırılmasına izin verdiği için güvenlik açığı durumunda riskler oldukça yüksektir. Saldırgan potansiyel olarak ağa girebilir ve oradan önemli kaynaklara ve verilere erişmeye çalışabilir.”

Daha fazlası Barracuda.com'da

 

 

Radar Cyber ​​​​Security COO'su Lothar Haensler

Radar Cyber ​​​​Security COO'su Lothar Hänsler: "Güvenlik açığından yararlanmak nispeten kolaydır, saldırılar kolayca gizlenebilir." (Resim: Radar Cyber ​​​​Security).

neyse ne oldu

“Geçen hafta sonu, Apache.org'un log4j2 modülünde bir güvenlik açığı keşfedildi ve hemen en yüksek kritiklik düzeyi olan 10'luk bir CVSS puanı verildi. Federal Bilgi Güvenliği Ofisi (BSI) gibi yetkililer, başlangıçta turuncu olan risk değerlendirmelerini hızla kırmızıya yükselttiler.”

Bu güvenlik açığını bu kadar özel yapan nedir?

"Güvenlik açıklarından yararlanmak nispeten kolaydır, saldırılar kolayca gizlenebilir (gizleme). Ek olarak, savunma önlemlerinin uygulanması kolay değildir. Bunun nedenlerinden biri, tüm azaltma stratejilerinin güvenlik açığından etkilenen uygulamalar üzerinde riskleri ve yan etkileri olabilmesidir. Ancak uzman gruplarındaki değerlendirmeler çok dinamik ve sonuç olarak hafifletme stratejileri konusunda da farklı bakış açıları var.”

Radar Siber Güvenlik tam olarak ne yaptı?

"Hafta sonu boyunca, önce bir olay müdahalesiyle veri durumunu analiz ettik, etkiyi tahmin ettik, Bilgisayar Acil Durum Müdahale Ekipleri (CERT'ler) gibi uluslararası platformlardan çeşitli bilgi kaynaklarını kullandık ve bu tehditle başa çıkmak için bir strateji tasarladık. Son olarak, Pazartesi sabahı tüm müşterilerimize bir güvenlik uyarısı gönderdik. Siber Savunma Merkezimiz (CDC) yüksek alarm moduna ayarlanmıştır.

Artık genel güvenlik duruşunu ihmal etmeden log4j2 modülünde güvenlik açığı oluşmasına özel önem veriyor. Bu güvenlik açığından yararlanmaları doğrulamak ve müşterilerimize bildirmek için algılama modüllerini güncelledik. Bu, güvenlik açığı yönetiminden klasik SIEM hizmetlerine ve bireysel ağ analiz araçlarına kadar uzanır. Aynı zamanda kendi sistemlerimizin analizine başladık. İlk müşteride yapılan ilk taramanın ardından, çok kısa bir süre içinde iki kritik olay tespit edildi. Diğer özel hizmetler, müşterilerin bu güvenlik açığından özel olarak etkilenip etkilenmediğini analiz eder. Aşırı durumlarda, sistemlerin kapatılması gerekebilir.”

RadarCS.com'da daha fazlası

 

ForeNova'da profesyonel hizmetler müdürü Paul Smith

ForeNova Profesyonel Hizmetler Direktörü Paul Smit: "log4j'deki sıfır gün güvenlik açığı son derece tehlikeli çünkü kötü amaçlı kod açıkça yeniden yüklenmeden doğrudan kullanılabilir." (Resim: ForeNova).

“Yaygın olarak kullanılan log4j Java kitaplığındaki sıfır gün güvenlik açığı son derece tehlikeli çünkü güvenlik açığı, kötü amaçlı kod açıkça yeniden yüklenmeden doğrudan kullanılabilir. Ancak bunun hemen gerçekleşip gerçekleşmeyeceği ancak çok geç olduğunda görülebilir. Bir uç noktanın güvenliği ihlal edilmiş olabilir, ancak bu henüz bilgisayar korsanlarının görüş alanında değildir. Şu anda, küçük ve orta ölçekli şirketlerin kapsamlı bir savunma stratejisi olarak ağ tespiti ve müdahalesi ile son nokta tespiti ve müdahalesini birlikte düşünme ihtiyacı ortaya çıkıyor. EDR, kötü amaçlı yazılımın yüklenip yüklenmediğini görür ve uç noktadaki savunmayı düzenler.

NDR ile geçmişi görün

NDR ile, bilgisayar korsanlarının dışarıdan hangi sistemlere erişmeye çalıştığını geriye dönük olarak loglama verilerinde de görebilirsiniz. NDR ayrıca, C2C sunucularıyla iletişim, bağlantı noktası tarama ve belirli trafik gibi, bu tür bir erişim denemesinden kaynaklanan tipik trafiği de görür. NDR ayrıca ağların bloke edilmesine ve bölümlere ayrılmasına veya sistemlerin karantinaya alınmasına da izin verir - bu, şüphe durumunda alınması gereken bir önlemdir. NovaComand gibi bir NDR çözümü, uç noktalardan gelen telemetri verilerini de analiz eder. NovaCommand bir yama yayınladı ve böyle bir saldırıyı tespit etmek için kuralları güncelledi. NovaCommand, etkilenen sistemleri ve ağ bölümlerini bloke etmek ve bölümlere ayırmak için diğer üçüncü taraf çözümlerini de tetikler.”

Daha fazlası ForeNova.com'da

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Veri manipülasyonu, hafife alınan tehlike

Her yıl 31 Mart Dünya Yedekleme Günü, güncel ve kolay erişilebilir yedeklemelerin öneminin bir hatırlatıcısıdır ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

 

Stories
, , , , ,