Log4j2 İstismarlarını İzleme Silverfort
Aralık 12th, 2021 Yaron Kassner
Apache Log4j, kurumsal uygulamalar tarafından yaygın olarak kullanılan açık kaynaklı, Java tabanlı bir günlük kaydı aracıdır. Güvenlik topluluğu yakın zamanda, bazı uygulamalardaki günlük alanlarını kontrol eden uzaktaki bir saldırganın, hedef uygulamada uzaktan kod yürütmek için Log4j'den yararlanmasına olanak tanıyan yeni bir Log2021jl güvenlik açığı (CVE-44228-4) keşfetti. Örneğin, bir saldırgan bir uygulamanın ${jndi:} biçiminde bir dize içeren bir alanı günlüğe kaydetmesine neden olabilir. Saldırgan uygulamanın ${jndi:} biçiminde bir dize kaydetmesine neden olursa, uygulama bir URL yüklemek için ldap://example.com/a URL'sine ulaşacaktır. nesne. Bilgisayar korsanı example.com'u kontrol ediyorsa, saldırgan bu güvenlik açığını kullanarak kendi seçtiği bir nesneyi uygulamanın belleğine yükleyebilir.
Bu güvenlik açığı, geniş etkisi nedeniyle HeartBleed ve ShellShock ile karşılaştırılmıştır. Java kullanan çoğu uygulama, günlük kaydı için log4j2 kullanır, bu nedenle ortamınızdaki çok çeşitli uygulamalar ve sistemler etkilenebilir. Bu güvenlik açığının vahşi ortamda toplu kullanımına ve hızla artan sayıda açıktan yararlanma varyantına ilişkin çok sayıda rapor vardır; 60'tan fazlası, güvenlik açığının ilk ifşa edilmesinden sonraki 24 saat içinde ortaya çıktı.
Silverfort kodunu gözden geçirdi ve ürün tarafından log4j2'nin herhangi bir savunmasız kullanımına rastlanmadı.
Göre CloudFlare, güvenlik açığından halihazırda yararlanılıyor ve saldırganlar bu güvenlik açığından yararlanmak için genellikle kullanıcı adı alanını kullanıyor. Bu mantıklıdır çünkü kullanıcı adı alanı genellikle başarısız olarak günlüğe kaydedilir. kimlik doğrulama istekleri.
Silverfort ortamdaki tüm kimlik doğrulama isteklerini izler ve kimlik doğrulama isteklerinde "${jndi:" dizesinin kullanımı hakkında rapor vererek bu Log4Shell istismarlarını denetlemek için kullanılabilir. Güvenlik ekiplerine yazılımlarını mümkün olan en kısa sürede güncellemelerinin yanı sıra güvenlik açığı bulunan sunucularının yama öncesinde güvenliğinin ihlal edilip edilmediğini kontrol etmeleri önerilir.
Sorular? biz her zaman okuyun senin için. Ölçek
