ozztech_logo_white

Log4Shell Güvenlik Açığı

Log4Shell Güvenlik Açığı

Tehdit aktörleri ve araştırmacılar, kötü amaçlı yazılım dağıtmak veya savunmasız sunucuları bulmak için Apache log4shell güvenlik açığını tarıyor ve kullanıyor.

Cuma sabahı erken saatlerde, Apache log4j Java tabanlı günlük kaydı platformunda ‘Log4Shell’ olarak adlandırılan kritik bir sıfırıncı gün güvenlik açığı herkese açık olarak yayınlandı. Bu güvenlik açığı, saldırganların yalnızca arama yaparak veya tarayıcılarının kullanıcı aracısını özel bir diziyle değiştirerek güvenlik açığı bulunan bir sunucuda uzaktan komut yürütmesine olanak tanımaktadır.

Kısa bir süre sonra Apache, güvenlik açığını gidermek için Log4j 2.15.0’ı yayınladı. Ancak tehdit aktörleri verileri sızdırmak, kötü amaçlı yazılım yüklemek veya sunucuyu ele geçirmek için savunmasız sunucuları taramaya ve kullanmaya başladı bile.

Bu yazılım binlerce kurumsal uygulamada ve web sitesinde kullanıldığından, yaygın saldırılara ve kötü amaçlı yazılım dağıtımına yol açacağı konusunda önemli endişeler var.

Kötü Amaçlı Yazılım Yüklemek İçin Kullanılan Log4Shell

Kolayca yararlanılabilen bir uzaktan kod yürütme güvenlik açığı ifşa edildiğinde, bunu ilk kullanmaya başlayanlar genellikle kötü amaçlı yazılım dağıtıcıları olur.

Web sunucusu erişim günlüklerinden, GreyNoise verilerinden ve araştırmacıların raporlarından Log4j’den yararlanan bilinen kötü amaçlı yazılım yüklerini sizler için inceledik;

Kripto Madencileri

Güvenlik açığı yayınlanır yayınlanmaz, aşağıda gösterildiği gibi çeşitli kripto madencilerini ve yükleyen kabuk komut dosyalarını yürütmek için Log4Shell güvenlik açığından yararlanan tehdit aktörlerini gördük.

Kinsing arka kapısının ve kripto madenciliği botnetinin arkasındaki tehdit aktörleri, savunmasız sunucu indirme ve kabuk komut dosyalarını çalıştıran Base64 kodlu yüklere Log4j güvenlik açığını yoğun bir şekilde kötüye kullandığını gördük.

Ayrıca kripto madenciliği hakkında ki saldırılar dikkatinizi çektiyse sizi ilgili makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/bitlocker-son-donemin-kripto-saldirisi/

Log4Shell Güvenlik Açığı
Kinsing Log4Shell istismar ve kodu çözülmüş komutlar

Bu kabuk betiği, rakip kötü amaçlı yazılımları savunmasız cihazdan kaldıracak ve ardından kripto para birimi için madenciliğe başlayacak olan Kinsing kötü amaçlı yazılımını indirip yükleyecektir.

Log4Shell Güvenlik Açığı
Kinsing yükleyici komut dosyası

Kripto madenciliği kurmak için görülen diğer Log4Shell istismarı aşağıdaki resimde görülebilir.

Log4Shell Güvenlik Açığı
Diğer kötü niyetli kripto madenciliği yükleyicileri

Mirai Ve Muhstik Botnet’leri

Netlab 360, tehdit aktörlerinin Mirai ve Muhstik kötü amaçlı yazılımlarını savunmasız cihazlara yüklemek için güvenlik açığından yararlandığını bildiriyor.

Bu kötü amaçlı yazılım aileleri, IoT cihazlarını ve sunucularını botnetlerine alır ve bunları kripto madencileri dağıtmak ve büyük ölçekli DDos saldırıları gerçekleştirmek için kullanır.

Netlab 360 araştırmacıları açıklamalarında “Bu sabah ilk yanıtları aldık, Anglerfish ve Apacket balküplerimiz botnet oluşturmak için Log4j güvenlik açığını kullanan 2 saldırı dalgası yakaladı ve hızlı bir örnek analizi, bunların her ikisi de Linux cihazlarını hedefleyen Muhstik ve Mirai botnet’lerini oluşturmak için kullanıldığını gösterdi.” dedi.

Cobalt Strike İşaretleri

Microsoft Tehdit İstihbarat Merkezi, Log4j güvenlik açıklarının da Cobalt Strike işaretlerini düşürmek için istismar edildiğini bildirdi.

Cobalt Strike, kırmızı ekiplerin uzak ağ gözetimi gerçekleştirmek veya başka komutlar yürütmek için “güvenliği ihlal edilmiş” cihazlara aracılar veya işaretçiler yerleştirdiği meşru bir sızma testi araç takımıdır.

Bununla birlikte, tehdit aktörleri, ağ ihlallerinin bir parçası olarak ve fidye yazılımı saldırıları sırasında yaygın olarak Cobalt Strike’ın kırık sürümlerini kullanmaktadır.

Tarama Ve Bilgi İfşası

Kötü amaçlı yazılım yüklemek için Log4Shell istismarlarını kullanmanın yanı sıra, tehdit aktörleri ve güvenlik araştırmacıları, savunmasız sunucuları taramak ve onlardan bilgi sızdırmak için istismarı kullanıyor.

Araştırmacılar, güvenlik açığı bulunan sunucuları URL’lere erişmeye veya geri arama etki alanları için DNS istekleri gerçekleştirmeye zorlamak için bu açığı kullanmaktadır. Bu, araştırmacıların veya tehdit aktörlerinin sunucunun savunmasız olup olmadığını belirlemesine ve onu gelecekteki saldırılar, araştırmalar veya bir hata ödülü talep etme girişimleri için kullanmasına olanak tanımaktadır.

Bazı araştırmacılar, ana bilgisayar adı Log4j hizmetinin altında çalıştığı kullanıcı adı, işletim sistemi adı ve işletim sistemi sürüm numarası da dahil olmak üzere sunucu verilerini içeren ortam değişkenlerini izinsiz olarak sızdırmak için istismarı kullanarak çok ileri bir adım atıyor olabilir.

log4shell
Araştırmacılar ve tehdit aktörleri, savunmasız sunucuları tarıyor

Taramanın bir parçası olarak kullanılan en yaygın alan adları veya IP adresleri/veya veri hırsızlığı kampanyaları şunlardır:

interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com

Özellikle ilgi çekici olan, Log4j istismarları için yoğun bir şekilde geri arama olarak kullanılan bingsearchlib.com etki alanıdır. Ancak bir güvenlik araştırmacısı, etki alanı bir istismar geri çağrısı olarak kullanılırken, bingsearchlib.com’un kayıtlı olmadığını söyledi.

Güvenlik araştırmacısı, tehdit aktörlerinin kötüye kullanmasını önlemek için etki alanını kaydettiklerini, ancak istekleri günlüğe kaydetmediklerini söyledi.

Tehdit istihbaratı şirketi GreyNoise, bingsearchlib.com geri aramasını kullanan IP adreslerinin de yaygın olarak 205.185.115.217:47324 Log4Shell geri aramasını kullandığını gösteriyor.

Bilinmeyen saldırılar için, açıklardan yararlanmaya çalışan psc4fuel.com adlı bir alan adından tekrarlanan istekler gördü. Bu alan adı, bir petrol hizmetleri şirketine ait yasal psc4fuel.com alan adını taklit ediyor gibi görünüyor.

psc4fuel.com etki alanı, istismarın yürüteceği Java sınıflarını zorlamak için kullanılır. Ancak Log4j güvenlik açığından yararlanan bir araştırmacı mı yoksa tehdit aktörü mü olduğunu görmek için bu sınıfların bir örneğini alamadı.

log4shell
Log4j saldırılarında kullanılan psc4fuel.com etki alanı

Fidye yazılımı çetelerinin veya diğer tehdit aktörlerinin Log4j istismarını kullandığını gösteren herhangi bir kamu araştırması olmamasına rağmen, Cobalt Strike işaretlerinin konuşlandırılmış olması, bu saldırıların yakın olduğu anlamına geliyor.

Bu nedenle, bu güvenlik açığını en kısa sürede gidermek için tüm kullanıcıların Log4j’nin en son sürümünü veya etkilenen uygulamaları yüklemesi zorunludur.

Bunun gibi olaylar, birçok yazılıma dahil olan paketlerde ortaya çıkarıldığında tek bir kusurun nasıl dalgalanma etkileri olabileceğini, daha sonraki saldırılar için bir kanal görevi görebileceğini ve etkilenen sistemler için kritik bir risk oluşturduğunu gösteriyor. Huntress Labs Kıdemli Güvenlik Araştırmacısı John Hammond, “Tüm tehdit aktörlerinin bir saldırıyı tetiklemesi gereken bir metin satırıdır.” Dedi. “Bu güvenlik açığı için belirgin bir hedef yok bilgisayar korsanları ortalığı karıştırmak için püskürt ve dua et yaklaşımı benimsiyor.”

İkinci Log4Shell Güvenlik açığı ortaya çıktı, incelemek için https://www.ozztech.net/siber-guvenlik/ikinci-log4shell-guvenlik-acigi/ adresini ziyaret edebilirsiniz.

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »