Log2Shell Saldırılarının 4. Aşamasına Hazır mısınız?

Yeni keşfedilen Log4Shell sıfır gün saldırısının gelgit dalgaları henüz belirlenmedi. Pek çok kuruluş, sunucularına yama uygulamak için acele ederek, bildirilen büyük saldırılara karşı bağışıklık kazanmalarını sağladı. Ancak sunucularınıza yama uygulamak tek başına bu kritik durumun garanti altına alınması için yeterli değildir. saldırı yüzeyi kapsanmıştır. Güncellenmiş log4j sürümünü çalıştırmak gerçekten gelecekteki saldırılara karşı koruma sağlarken, bazı sunucuların ele geçirilmiş olabileceği olasılığını da ele almak gerekir. önceki yamaya. Bu makalede, bu senaryonun fizibilitesini açıklayacağız ve bunu proaktif olarak azaltmak için eyleme geçirilebilir önerilerle devam edeceğiz.

Log4Shell-In-the-Wild Etkinlik Özeti

Apache Log4j, kurumsal uygulamalar tarafından yaygın olarak kullanılan açık kaynaklı, Java tabanlı bir günlük kaydı yardımcı programıdır. Log4Shell (CVE-2021-44228) ile ilgili ilk raporların tarihi 9 Aralık'tır. Bu raporların hemen ardından, yeni açıktan yararlanma varyantlarının son derece hızlı bir şekilde geliştirilmesi ve orijinal açıktan yararlanmanın yeni varyasyonlarının hızla tanıtılması izledi - 60 saatten kısa sürede 24'ın üzerinde.[1] Ayrıca, yalnızca bu 24 saat içinde, çeşitli güvenlik sağlayıcıların müşterilerinin büyük bir bölümünün güvenlik açığından yararlanmaya çalışan bilgisayar korsanları tarafından hedef alındığını bildirmesiyle, dünya çapında kuruluşlara yönelik saldırılar arttı. [2] Şu anda istismar, yaygın kötü amaçlı yazılım cephaneliğine hızla entegre edilmiştir.[3] gelişmiş ulus-devlet saldırı grupları tarafından da kullanıldığı bildiriliyor.

İhlal Varsayın - Aksi Kanıtlanana Kadar Saldırıya Uğradı

Bu saldırıların muazzam hacmi, savunmasız sunucularına yama uygulayan herhangi bir güvenlik paydaşı için bir zorluk teşkil ediyor. Güvenlik açığından yararlanmanın hızlı gelişimi ve kullanım hızı, sunucularınızın yama uygulanmadan önce açıktan yararlanma tarafından hedef alınmış olabileceğine dair en azından geçerli bir olasılık olduğu anlamına gelir. Bu durumda en iyi güvenlik uygulamasının, bu tehdit güvenilir bir şekilde çürütülene kadar sunucularınızın güvenliği ihlal edilmiş gibi davranmak olduğuna kesinlikle inanıyoruz. Bu tehdide verimli bir şekilde nasıl karşı koyacağımızı en iyi şekilde anlamak için böyle bir uzlaşmanın çeşitli sonuçlarını gözden geçirelim.

Sessiz Bir Uzlaşmanın Ardından Olası Aşama 2 Tehdit Senaryoları

Doğru Zaman Gelene Kadar Ortada Kalmak

Log4Shell tek başına saldırganların ortamınızda ilk dayanak noktası oluşturmasını sağlar. Bu dayanak noktası saldırganların hedefi değil, daha ziyade önemli bir ön aşamadır. Bu, eğer saldırganlar gerçekten de bu güvenlik açığından yararlandıysa ve web'e yönelik sunucularınızdan birinde yer edinmişse, dikkatleri kendilerine çekmeleri için hiçbir teşvik olmayacağı anlamına gelir. Aksine, saldırının asıl amacını gerçekleştirmeye çalışmadan önce düşük ve yavaş çalışarak ek kimlik bilgileri toplayarak ve belki de ağınızdaki ek makinelere genişleyerek çalışma olasılıkları daha yüksektir. Gördüğümüz ortak istismarlardan yola çıkarak, bu hedefin bir hedef olma ihtimalinin yüksek olduğunu söyleyebiliriz. fidye Operasyonlarınızı durdurabilecek bir saldırı olabilir ancak aynı zamanda fikri mülkiyetinizin veya çalışanlarınızın veya müşterilerinizin kişisel bilgilerinin çalınması da olabilir.

Erişimi Sat

Alternatif olarak, saldırgan ağa erişimi kendisi kullanamaz. Bunun yerine, sunucu erişimlerini karanlık ağdaki üçüncü bir tarafa satabilirler.

Nihai Sonuç: Yanal Harekete ve Fidye Yazılımı Yayılmasına Maruz Kalma

Öyle ya da böyle, krallığınızın anahtarlarına, yani standart ve yönetici kullanıcılarınızın kullanıcı adlarına ve kimlik bilgilerine sahip saldırganlar olabilir. Bu kötü çünkü ilk taviz tek bir makineye zarar verirken, yanal hareket yerel bir olayı kurum çapında bir riske dönüştüren kısım. Güvenliği ihlal edilmiş kimlik bilgileri, saldırganların tam da bunu yapmasına olanak tanır.

Noel Etkisi

Saldırganların genellikle tatilleri ve hafta sonlarını tercih ettiğini unutmayalım. Yaklaşan Noel tatili, çalışanlarınızın kimlik bilgilerinin yanlış ellere geçmesi için özellikle kötü bir zamandır. Yukarıda açıklanan her iki tür saldırganın da bu arada sessiz kalıp doğru saati bekleyeceğine inanıyoruz - Noel mükemmel bir zamanlama olabilir.

Silverfort Ele Geçirilmiş Kimlik Bilgileri için En İyi Uygulama Önerileri

Yukarıdakilerin ışığında, sunucularınızdan bazılarının güvenliğinin saldırganlar tarafından ele geçirilmiş ve belki de hala ele geçirilmiş olma olasılığıyla proaktif olarak yüzleşmek için bir dizi eyleme dönüştürülebilir en iyi uygulama derledik. Log4Shell güvenlik açığından yararlandı:

• Uçtan Uca Yama
  • Tüm güvenlik açığı bulunan sistemlerin, internete açık sunucularınıza özel dikkat gösterilerek yamalandığından emin olun.

• • Yama yapamayacağınız uygulamaları hem ağ düzeyinde hem de kimlik katmanında izole edin.

• Saldırganların Ele Geçirilmiş Kimlik Bilgileri Daha Fazla Kötü Amaçlı Erişim için

• • Iste MFA ortamdaki tüm kaynaklar için tüm yönetici hesapları için. Ayrıca, MFA korumasının aşağıdakiler gibi komut satırı yardımcı programları da dahil olmak üzere erişim arabirimlerine uygulandığından emin olun: PsExec, PowerShell vb. ve yalnızca RDP ve masaüstü oturum açma için değil.
  • kısıtlamak hizmet hesapları yalnızca izin verilen bilgisayarlardan çalışmak için. Bunu, bu hesapların öngörülebilir ve tekrarlayıcı davranışlarına dayandırmalısınız.
  • Tek bir kullanıcıdan gelen eşzamanlı erişim isteklerindeki artış veya kullanıcı hesabınızın standart etkinliğinden herhangi bir sapma gibi şüpheli ve kötü niyetli olaylara karşı ortamınızı yakından izleyin.

Bu tavsiyelere uymanız, önceden var olan Log4Shell tabanlı bir uzlaşmaya karşı dayanıklılığınızı büyük ölçüde artıracak ve saldırganın daha fazla kötü niyetli erişim için çalınan kimlik bilgilerini kullanma yeteneğini geçersiz kılacaktır.

The Silverfort Birleşik Kimlik Koruması platformu, kullanıcılarının Risk Tabanlı Kimlik Doğrulama ve hedeflenen kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan kimlik tabanlı saldırılara karşı proaktif koruma sağlayan herhangi bir kullanıcıya, hizmete veya sisteme MFA. Bu, uçtan uca MFA korumasının yanı sıra hem şirket içinde hem de bulutta tüm kimlik doğrulamalarının sürekli izlenmesini içerir. Hakkında daha fazla öğren Silverfort okuyun.