Apache LOG4J. Güvenlik Zafiyetinden Etkilenmiş Olan Tüm Sistemlerinizi DNS & Security Gap Visibility Ürününde Raporlanan Tekbir Sorgu ile Tespit Edebilirsiniz!

‍

LOG4J açıklığını duydunuz mu?

Hedeflenmiş olan sistemde, saldırganlar bu zafiyeti kullanarak uzaktan kod çalıştırma imkânına sahiptir ve bunun için özel teknik beceriler gerektirmemesi nedeniyle durum daha da kötüleşiyor. Saldırganlar hedef sisteme zararlı bir yazılım yükleyebilir, hassas, önemli verileri ele geçirebilirler veya sistem üzerinde yıkıcı etkiler bırakabilirler.

‍

DNS &Security Gap Visibility bu durumda nasıl bir fayda sağlar?

‍

1) Log4J Zafiyetinden Kaynaklı Olarak Enfekte Olmuş/Etkilenmiş Cihazların/Sistemlerin Tespiti

LOG4J'den etkilenmiş olan/etkilenen ürünlerin tespiti için DNS seviyesinde detaylı bir analiz yapılması gerekmektedir. DSN & Security Gap Visibility çözümü bütün DNS sorgularınızın loglarını 1 yıl geriye kadar tutar ve analiz eder. Bu sayede son 1 yıl içerisinde Log4J’nin CVE-2021-44228 numaralı açıklığından güncel olarak veya geçmişte etkilenmiş olan tüm sistemlerinizi, eğer ağınızda enfekte olmuş cihazlarınız var ise direkt olarak hangi cihazlarınızın enfekte olduğunu, bu açıklıktan etkilendiğini tespit edebilirsiniz.

Sizler için Log4J zafiyetinden etkilenmiş sistemlerin yapmış olduğu DNS sorgularından oluşan örnek bir domain listesi hazırladık:

dnslog[.]cn

canarytokens[.]com

log4shell[.]tools

bingsearchlib[.]com

kryptoslogic-cve-2021-44228[.]com

binaryedge[.]io

interactsh[.]com

interact[.]sh

burpcollaborator[.]com

eg0[.]ru

leakix[.]net

psc4fuel[.]com

‍

‍

‍2) Anomali Tespiti

 DNS & Security Gap Visibility sistemlerin DNS trafiğini öğrenme sürecinde bağlantı açtığı bütün domainleri tarihsel olarak öğrenir. Herhangi bir exploit çalıştırılması durumunda sunucularınızın ilk kez gittiği domainleri 'Firstly Visited' olarak belirler ve bu trafik anomalilerini SIEM ürününe iletir. Bu iletim sırasında, Cyber X-Ray (Roksit veritabanı) platformundan domaine ait olan bütün kronolojik verileri SIEM ürününe ileterek, SOC ekiplerinin çok daha kısa sürede tespit yapabilmesini sağlar.  

3) Güvenlik Ürünlerinin Log4JZafiyetinden Kaynaklı Kötü Niyetli Bağlantılara Karşı Yeterli Olup Olmadığını Belirleme

DNS & Security Gap Visibility ürününün, Security Gap özelliği sayesinde Log4J açığından kaynaklı etkilenmiş sistemlerin, şüpheli domainlere bağlanmaya çalıştığında mevcut güvenlik cihazları tarafından engellenip engellenmediğini de tespit eder. Var olan bütün güvenlik cihazlarınızınLOG4J açıklığından kaynaklı olarak saldırıya uğramış sistemlerinize karşı koruma sağlayıp sağlamadığını, bu saldırıları engellemede/tespit etmede faydalı olup olmadığını görebilirsiniz.

4) LOG4J Zafiyetine Karşı Sürdürülebilir Aktif Koruma

Roksit Secure DNS kullanıcıları bu domainlerin aktif olarak engellenmesi ile bu açıklığa karşı koruma altındadır. Bu sistemlerdeki Log4J frameworkünün sürümünü güncel sürüme yükseltmeniz durumunda güvenlik açığından koruma sağlarsınız.

Bununla birlikte, Roksit ürününde pozitif güvenlik modelini seçerseniz, güvenlik seviyenizi gelecekte LOG4J ve buna benzer zafiyetlerin kullanılması ile gerçekleşebilecek olası saldırılara karşı maksimum seviyede tutmuş olursunuz. Maksimum seviyede koruma sağlanmasının temel sebebi ise herhangi bir domain sorgusunun veri tabanında bulunmasa bile yapay zeka tarafından850'den fazla özelliği kontrol edilerek kategorize edilmesinden kaynaklanır. Kategorize edilme sürecinde bir bağlantı kurulmasına izin vermeyerek bu tip yeni keşfedilmiş ve gelecekte keşfedilmeyi bekleyen açıklardan kaynaklı zararlı bağlantıların önüne geçer.

Roksit DNS and Security Gap Visibility ürünü ile mevcut EDR ürününü entegre etmiş olan kullanıcılar bu domaine bağlantı yapmış uygulamaları da tespit edebilirler. Başka bir deyişle, LOG4J açıklığı kullanılarak enfekte olmuş/etkilenmiş uygulamaları, dosyaları da direkt olarak tespit edebilirler.

‍