LOG4J Güvenlik Açığı

DNSEye ile LOG4J Zafiyetinden Etkilenen Sistemlerin Tespiti

Tek bir sorgu ile DNSEye'da raporlanan Apache LOG4J Güvenlik Zafiyetinden etkilenen sistemleri tespit edebilirsiniz.

‍

LOG4J Güvenlik Açığını Duydunuz mu?

Saldırganlar, LOG4J güvenlik açığından yararlanarak hedeflenen bilgisayarlarda komutları/komut dosyalarını uzaktan çalıştırma fırsatından yararlanabilirler ve bu yaklaşım herhangi bir özel beceri gerektirmez, bu da sorunu daha da kötüleştirir. Saldırganlar hedef sisteme kötü amaçlı yazılımlar yükleyebilir, faydalı yükler çalıştırabilir, değerli verileri çalabilir veya sisteme ciddi zararlar verebilir.

Bu durumda DNSEye nasıl yardımcı olabilir?

‍

1) LOG4J Güvenlik Açığından Etkilenen Cihazları Tespit Etme

LOG4J güvenlik açığından etkilenen sistemleri/cihazları belirlemek için titiz bir DNS trafik analizi gereklidir. DNSEye tüm DNS sorgularını 1 yıla kadar saklar ve analiz eder. Sonuç olarak, ağınızda herhangi bir virüslü cihaz varsa, LOG4J'nin CVE-2021-44228 sayısal güvenlik açığının bir sonucu olarak hangi belirli cihazların virüslü olduğunu ve etkilendiğini, şimdi veya geçmişte etkilenip etkilenmediğini belirleyebilirsiniz.

Sizin için LOG4J güvenlik açığından etkilenen sistemler tarafından talep edilen DNS sorgularını içeren örnek bir etki alanı listesi hazırladık:

dnslog[.]cn

canarytokens[.]com

log4shell[.]tools

bingsearchlib[.]com

kryptoslogic-cve-2021–44228[.]com

binaryedge[.]io

interactsh[.]com

interact[.]sh

burpcollaborator[.]com

eg0[.]ru

leakix[.]net

psc4fuel[.]com

‍

2) İlk Ziyaret Edilen Alan Adlarının Tespiti ve Risk Uyarısı

DNSEye, sistemin genel DNS trafiğini ve öğrenme süreci boyunca sistemin bağlantı kurduğu tüm alan adlarını kronolojik sırayla yakalar. Eğer herhangi bir zafiyetten yararlanılmış ise bu durumda sunucularınız tarafından ilk talep edilen domainler 'Firstly Visited' olarak incelenecek ve bu trafik anomalileri SIEM çözümüne iletilecektir. Bu iletim sırasında Cyber X-Ray (Roksit'in Veri tabanı) tüm domain verilerini kronolojik sıra ile SIEM çözümüne aktaracaktır. Sonuç olarak, SOC ekipleri çok daha kısa bir zaman diliminde daha hassas tespitler yapabileceklerdir.

‍

3) Güvenlik Varlıklarının LOG4J Zafiyetinin neden olduğu kötü niyetli faaliyetlere karşı koruma sağlamak için yeterli olup olmadığının belirlenmesi

DNSEye, Security Gap özelliği sayesinde mevcut güvenlik varlıklarının LOG4J zafiyetinden etkilenen sistemlerin bağlantı girişimlerini tespit etme ve engelleme kapasitesine sahip olup olmadığını analiz eder. Güvenlik varlıklarınızın LOG4J Zafiyeti istismarlarından kaynaklanan saldırıları önleme ve tespit etme konusundaki yeteneklerini ve performansını görebilmenin yanı sıra sisteminize etkin koruma sağlayabilirsiniz.

‍

4) LOG4J Kırılganlığına Karşı Aktif ve Sürdürülebilir Koruma

Roksit, DNSDome kullanıcıları, bu alan adları aktif olarak engellendiği için LOG4J Zafiyetinden kaynaklanabilecek olası saldırılara karşı sürekli koruma altındadır. Ayrıca LOG4J Framework sürümünü güncelleyerek bu güvenlik açığından korunabilirsiniz.

‍

Ayrıca Roksit Pozitif Güvenlik Modeli kullanıldığı takdirde olası istismarlara, LOG4J kaynaklı saldırılara ve benzeri zafiyetlere karşı güvenlik en üst seviyede tutulacaktır. Pozitif güvenlik modelinin en üst düzeyde koruma sağlamasının nedeni, Roksit'in gelişmiş yapay zeka teknolojisi sayesinde her türlü alan adı talebinin (veri tabanında bulunmasa bile) 850 kriter dikkate alınarak incelenmesi ve sınıflandırılmasıdır. Bilinmeyen herhangi bir alan adı talebi, sınıflandırılana kadar engellenerek yeni tespit edilen ve gelecekte keşfedilmesi beklenen güvenlik açıklarından kaynaklanan saldırıların ve kötü niyetli bağlantıların önlenmesini sağlar.

Mevcut EDR çözümlerine bir DNS ve Security Gap çözümü entegre eden kullanıcılar, bu şüpheli alanlara sorgu gönderen belirli uygulamaları tespit edebilir. Başka bir deyişle, LOG4J güvenlik açığının bir sonucu olarak etkilenen dosyalar, yürütülebilir dosyalar ve uygulamalar doğrudan tespit edilebilir.

‍