Tom McVey, Satış Mühendisi EMEA, Menlo Security
Aralık 2021’de siber güvenlik endüstrisi, saldırganlar tarafından kullanılan tehditlerin hem karmaşıklığında hem de hacminde daha fazla artışla tanımlanan başka bir zor yılı yansıtıyor olabilir.
Saldırganlar, 2020’deki benzer bir kalıbı takip ederek, büyüyen dijital ayak izlerinden ve yeni güvenlik açıklarından yararlanmaya devam etti – pandeminin dijitalleşme çabalarında hızlı bir artışa yol açmasından bu yana yalnızca hızlanmaya devam eden bir eğilim.
Bu tür yansımaların ortasında Log4Shell, şirketlerin bugüne kadar karşılaştığı en tehdit edici güvenlik açıklarından biri olarak ortaya çıktı.
Log4j, Log4j Java günlük kitaplığında (CVE-2021-44228) keşfedilen zayıf bir noktadır. Genellikle hatalar ve rutin sistem işlemleri gibi olayları kaydetmek için kullanılan yaygın bir yazılım parçasıdır. Hatalı bir bağlantıya tıklandığında alınan 404 hata mesajı, hem kullanıcıya web sayfasının olmadığını söyleyen hem de olayı bir günlükte kaydeden Log4j’nin eylem halindeki bir örneğidir.
Log4Shell, Log4j’de, kullanıcıların bir günlük mesajını biçimlendirmek için özel kod belirlemesine olanak tanıyan belirli bir özelliği kötüye kullanarak çalışır. Buradaki zorluk, bu kodun günlük mesajlarını biçimlendirmekten daha fazlası için kullanılabilmesi gerçeğinde yatmaktadır. Gerçekten de Log4j, üçüncü taraf sunucuların, hedeflenen bilgisayarda her türlü eylemi gerçekleştirebilen yazılım kodunu göndermesine izin vererek, bir dizi hain faaliyete kapı açar.
Kullanım kolaylığı ve ISITMA
Log4j ile ilgili büyük bir sorun, yalnızca büyük hasara neden olma potansiyeli değildir…. Aynı şekilde, Log4Shell’i kullanmak nispeten basittir.
Bu kombinasyon göz önüne alındığında, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) 10 üzerinden nadir bir 10 puan verdi. İstismarı kullanmak için bu kadar düşük bir çubukla, kötü niyetli çok çeşitli saldırganlar tarafından kullanılabilir.
Bu, güvenlik açığı herkese açık hale getirildikten sonra meydana gelen çok sayıda saldırı ile gösterilmektedir. Sadece dokuz dakika içinde kaydedilen ilk istismar girişimiyle, sonraki üç gün içinde, bir yama yayınlanmadan önce 830.000 daha yapıldı.
Aynı derecede endişe verici olan şey, Log4j güvenlik açığını kullanan bir kavram kanıtı saldırısının sekiz gün önce tespit edilmiş olması ve bu güvenlik açığının bu zamandan önce hem bilindiğini hem de muhtemelen istismar edildiğini düşündürüyor.
Gerçekten de kanıtlar tek bir sonuca işaret ediyor – birden fazla saldırganın Log4Shell istismarı yoluyla çeşitli kurumsal sunuculara başarıyla sızdığı.
Başarılarının bariz bir işaretini vermemiş olmaları muhtemeldir. Bunun yerine, ağları araştıracak ve en fazla değeri nereden elde edebileceklerini veya kurbanlarının gözünde en fazla zararı verebileceklerini belirleyecekler.
Bu, saldırganlar arasında yaygın bir eğilimdir ve istismarlarından mümkün olan en yüksek değeri elde etmelerine olanak tanır. ABD devlet kurumlarını ve çeşitli Fortune 500 şirketlerini etkileyen kötü şöhretli ve yıkıcı SolarWinds saldırısı, saldırganların bir saldırı tespit edilmeden dokuz ay önce şirket ağına erişim kazanmasıyla buna en iyi örnektir.
Bu nedenle, Log4j güvenlik açığından kaynaklanan çeşitli saldırıların 2022’nin tamamında ve hatta sonrasında ortaya çıkacağını ve Yüksek Derecede Kaçınmalı Uyarlanabilir Tehditler’in (HEAT) saldırganların cephaneliğinde, işlerini bu koşullar altında yürütmelerini sağlayacak kritik bir araç olmasını bekliyoruz. radar.
HEAT saldırıları, saldırganlar tarafından mevcut güvenlik savunmalarından kaçmak için kullanılan belirli tekniklerle tanımlanır. Mevcut güvenlik yığınına entegre edilen tüm teknolojinin tam olarak anlaşılmasıyla, tehdit aktörleri, tespitten kaçınmak için HTML kaçakçılığı ve Javascript şaşırtma gibi veri gizleme taktiklerinden yararlanıyor.
HEAT saldırıları, güvenlik uzmanlarına kendi başına birçok zorluk sunar. Birkaç HEAT saldırı özelliği aslında yararlı amaçlara hizmet eder ve bu nedenle tamamen engellenemez. Bunun yerine, HEAT saldırılarının önlenmesini sağlamak için geçici çözümlere ihtiyaç vardır.
Sıfır güven ve izolasyon
Log4j’nin hem yüksek düzeyde erişilebilir olması hem de potansiyel olarak çok maliyetli olması, gelişen bir hizmet olarak fidye yazılımı ortamı tarafından yönlendirilen artan bir saldırgan dalgası ve HEAT saldırılarının artan yaygınlığı arasında; güvenlik ekiplerinin karşı karşıya olduğu görev zordur.
Ancak, bu tür senaryoları düzeltmek için atılabilecek bazı adımlar vardır. Bu, sıfır güven yaklaşımıyla ihlal sonrası tespit ve azaltmadan önlemeye yönelik bir zihniyet değişimiyle başlamalıdır.
Sıfır güven yaklaşımıyla kuruluşlar, tehditleri uç noktaya ulaşmadan önce durdurmak için çalışabilirler – modern saldırganların kaçamak eylemleri göz önüne alındığında bugün tamamen gerekli olan bir şey. Bir ağa olan güveni bir güvenlik açığı olarak kabul eder ve bu nedenle e-postalardan ve belgelerden web sitelerine ve videolara kadar tüm trafiğin her zaman doğrulanması gerektiğini savunur.
Menlo’da, kuruluşların siber güvenliğe yönelik geleneksel algılama ve yanıtlama yaklaşımlarını terk etmelerini ve internetten hiçbir aktif içeriğin kullanıcının uç noktasında yürütülmemesini sağlayan bir teknoloji olan izolasyonla desteklenen sıfır güven yaklaşımını uygulamalarını öneriyoruz.
Kritik olarak, bu, BT altyapısını yama durumundan bağımsız olarak fidye yazılımlarından ve diğer HEAT saldırılarından korur. Uç noktaya herhangi bir erişimi kapatmak, bu saldırıları yüzde 100 kesinlikle durdurmanın tek yoludur.
yazar hakkında
Tom, EMEA bölgesi için Menlo Security’de Çözüm Mimarıdır. Farklı sektörlerdeki kuruluşlar için teknik gereksinimlerini ve mimarların web ve e-posta izolasyon dağıtımlarını karşılamak için müşterilerle yakın bir şekilde çalışır. Menlo Security’den önce Tom daha önce LogRhythm ve Varonis için çalıştı.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.