Açık kaynak yardımcı programı, güvenlik açığı bulunan Java kodunu çalıştırmadan yükleri ortaya çıkarır
“Kritik yan etkiler” riski olmadan basit, hızlı yük analizi vaat eden bir Log4Shell gizleme aracı Black Hat ABD’de sergilendi.
Açık kaynaklı ‘Ox4Shell’ yardımcı programı dün (10 Ağustos) Las Vegas’taki Arsenal pistinde AppSec test platformu Oxeye’dan Daniel Abeles ve Ron Vider tarafından gösterildi.
‘Gerçek niyet’
Abeles, aracın Apache Log4j’deki kritik güvenlik açığının diğer engelleyiciler arasında eksik olan güçlü bir fayda kombinasyonu sunduğuna inanıyor; Java günlük kaydı yardımcı programı o kadar geniş bir alana yayılmış ki ‘Log4Shell’ kusuru (CVE-2021-44228) yüz milyonlarca cihazı etkiliyor .
“Bir web uygulaması güvenlik duvarında çalıştım [WAF] Birkaç yıldır kendim, bu yüzden, gizlenmiş yüklerin gerçek amacını ve güvenlik ekiplerine getirdiği zorluğu anlama mücadelesiyle kişisel olarak ilişki kurabiliyorum” dedi. Günlük Swig sunumundan önce söyledi.
İLİŞKİLİ ABD hükümeti, ‘Endemik’ Log4j böceğinin en az on yıl boyunca vahşi doğada kalmaya ayarlı olduğu konusunda uyardı
Araştırmacılar, basit bir Python betiği olan Ox4Shell kadar kullanımı kolay başka bir araç bulamadılar, ancak bu süreçte kullanıcının herhangi bir savunmasız kod çalıştırmasını gerektirmedi.
Abeles, “Paralel bir Java kodunun yapacağı dönüşümlerin çoğunu, savunmasız Java kodunu çalıştırma riski olmadan taklit ettik” dedi. “Bu, kritik yan etkilerin olmamasını sağlamak için bu tür araçları bir üretim hattına (örneğin WAF kuralları) entegre ederken özellikle önemlidir.”
Doğruluğu en üst düzeye çıkarmak
Oxeye, “çoğu güvenlik mühendisi için göz korkutucu” ve en deneyimliler için bile “zaman alıcı ve sıkıcı” olan karmaşık veri yükleriyle, “güvenlik topluluğuna Log4Shell yüklerini gizlemek için yalın ve basit bir yol sağlamak” için yola çıktı.
Abeles, AppSec mühendislerinin ihtiyaçlarının aracın spesifikasyonu hakkında bilgi verdiğini, “Ox4Shell’i test etmek için kamuya açık gizlenmiş yüklerin azlığının” onları “çok çeşitli yükleri bir araya getirmek için birkaç uygulama güvenlik ekibiyle ekip oluşturmalarını, böylece minimum yanlışlığı sağlayabilmemizi” sağladığını söyledi. negatif ve yanlış pozitif oranı”.
En son Log4Shell haberlerini ve analizlerini yakalayın
Bu süreç, Log4Shell’in ortaya çıkmasından bir ay sonra, Ocak 2022’de Ox4Shell’in piyasaya sürülmesiyle doruğa ulaştı.
Araç, tehdit aktörlerinin WAF kurallarını aşma ve istismar analizini karmaşık hale getirme girişimlerine, base64 komutları da dahil olmak üzere karmaşık yüklerin kodunu çözerek “sezgisel ve okunabilir bir biçime” karşı koyar – böylece onların “gerçek işlevlerini” ortaya çıkarır ve güvenlik ekiplerinin analizini “önemli ölçüde” azaltır. zaman.
Sahte veriler
Oxeye, Ox4Shell’in savunucuların, saldırganların kontrol edebilecekleri sahte verileri besleyerek hedeflenen makineleri tanımlamak için Log4Shell aracılığıyla kötüye kullanabilecekleri arama işlevlerine uymasını sağladığını söylüyor.
Arama işlevlerine ortak değerler eklemek için bir mock.json dosyası kullanılır. Ox4Shell GitHub sayfasında “Örneğin, yük değeri içeriyorsa, bunu özel bir sahte değerle değiştirebiliriz” diyor.
Abeles, bu “arama alayı”, kullanıcıların “belirli veri aramalarını alaylı verilerle değiştirebileceği, böylece nihai sonucun daha gerçekçi ve onu kullanan belirli kuruluşa daha uygun görüneceği” anlamına geldiğini söyledi. Günlük Swig.
Yakın tarihli bir ABD hükümeti raporu, savunmasız Log4j örneklerinin “on yıl veya daha uzun süre” devam edebileceği konusunda uyardı. Ox4Shell’in bir süre daha faydalı olmaya ayarlı olmasıyla, Oxeye, topluluk geri bildirimlerine dayalı olarak daha fazla arama işleviyle alay etmek için aracın yeteneklerini genişletmeyi planlıyor.
TBC makale TBC