Log4j güncellemesi: 60 Log4Shell varyasyonu, yüz binlerce saldırı

Log4j'deki güvenlik açığının ciddiyeti teorik değildir. siber suçlular scan dünya çapındaki limanlardan yararlanmanın yollarını bulmak için. Güvenlik araştırmacıları yüz binlerce saldırıyı gözlemledi.

Geçtiğimiz birkaç gün içinde Check Point Software 470,000 denemeyi fark etti. scan dünya çapında kurumsal ağlar. scandiğer şeylerin yanı sıra, harici HTTP isteklerine izin veren sunucuları bulmak için gerçekleştirilir. Bu tür sunucular, Java kütüphanesi Log4j'deki kötü şöhretli güvenlik açığından yararlanmaya eğilimlidir. Bir sunucu HTTP isteklerine izin veriyorsa, saldırgan kötü amaçlı yazılımın yürütülmesi için Java talimatlarını içeren uzak bir sunucuya işaret eden tek bir satırla sunucuya ping atabilir. Pinglenen sunucu Log4j'yi işleyen bir Java uygulamasına bağlıysa, Java uygulaması bu satırı kötü amaçlı yazılımı çalıştırmak için bir komut olarak işler. İşin özünde, kurbanın sunucusu saldırganın emirlerini yerine getirir. Güvenlik kuruluşu Sophos, yüz binlerce saldırı tespit ettiğini söylüyor.

Tanıdık yüzler

Daha önce Log4j'deki güvenlik açığının yukarıda bahsettiğimiz teknik işleyişi hakkında aydınlatıcı bir yazı yazmıştık. Kötüye kullanımın en büyük ön koşulu Log4j içeren Java uygulamalarına ulaşabilmektir. Bazı durumlarda bu çocuk oyuncağıdır. Örneğin, Apple i kullandıCloud Log4j iPhone'ların adlarını kaydetmek için. İOS'taki bir iPhone'un model adını Java talimatıyla değiştirerek Apple'ın sunucularını kırmanın mümkün olduğu ortaya çıktı.

Diğer durumlarda uygulamaların etkilenmesi daha az kolaydır. En büyük tehdit ise deneyime, bilgiye ve mevcut tekniklere sahip saldırganlardan geliyor. Netlab360'ın güvenlik araştırmacıları, Log4j ile Java uygulamalarına yönelik saldırıları davet etmek için iki tuzak sistemi (bal küpleri, ed.) kurdu. Böylece araştırmacılar, aralarında MIRAI ve Muhstik'in de bulunduğu, iyi bilinen kötü amaçlı yazılım türlerinin dokuz yeni varyasyonunu ortaya çıkardı. Kötü amaçlı yazılım türleri Log4j'yi kötüye kullanmak üzere tasarlanmıştır. Yaygın bir saldırı hedefi, kripto madenciliği ve DDoS saldırıları için botnet'lerin güçlendirilmesidir. Check Point Software daha büyük ölçekte benzer bir anket gerçekleştirdi. Geçtiğimiz birkaç gün içinde güvenlik örgütü 846,000 saldırı kaydetti.

Savunma

Siber suçluların Log4j'nin savunmasız sürümlerini arayıp kullandıkları açıktır. En çok tavsiye edilen savunma, ortamdaki tüm Log4j uygulamalarının envanterinin çıkarılmasıdır ve öyle de kalacaktır. Log4j'nin kullanıldığı uygulamanın tedarikçisi güncel bir sürüm yayınlamışsa yama yapılması önerilir. Değilse, devre dışı bırakmak en güvenli seçenektir. NCSC, Log4j'nin işlendiği yazılımın güvenlik açığına ilişkin genel bir bakış sağlar.

Şu anda kendi yazılım önlemlerinizi geliştirmeniz veya Log4j'nin çalışmasını ayarlamanız önerilmez. Güvenlik açığının varyasyonları vardır. Microsoft, diğerlerinin yanı sıra, Java uygulamalarına kötü amaçlı yazılım çalıştırma talimatı vermek için kullanılan kuralın birden fazla varyantını tespit etti. Check Point 60'tan fazla mutasyondan bahsediyor.