Spring4Shell Güvenlik Açığı Nedir ve Neden Önemlidir?
Bazı yazılım güvenlik açıklarının etkisi o kadar geniş kapsamlıdır ve o kadar çok uygulamayı etkiler ki potansiyel hasarı ölçmek neredeyse imkansızdır. Spring4Shell olarak bilinen güvenlik açıkları dizisi mükemmel bir örnektir.
Güvenlik açığı, adlandırılamayacak kadar çok Java tabanlı uygulamada kullanılan Spring Framework’te bulunur. Çerçevesi, veri erişimi ve kimlik doğrulama özelliklerini kapsayan modüller içerir, bu nedenle bir saldırganın bunu kullanması durumunda olası bir felaket meydana gelebilir.
Güvenlik açığı uzaktan kod yürütülmesini kolaylaştırır ve Spring Core’u JDK’da (Java Geliştirme Kiti) 9 ila 18 etkiler. Sinir bozucu bir şekilde, Spring4Shell araştırmacıların 2010’da keşfettiği başka bir uzaktan kod yürütme güvenlik açığını da içermektedir. Bu, Spring4Shell’in ne kadar kritik olduğunu ve yama yapmanın veya başka bir şekilde azaltmanın ne kadar zor olduğunu tek başına vurgular.
Spring Framework’ün modüllerinin çok sayıda işlevi olduğundan ve Spring Framework’ün birçok farklı ağ uygulamasında farklı kullanımları nedeniyle, Spring4Shell’den yararlanmanın birçok yolu vardır.
Endişe verici bir örnek, Spring4Shell’in Mirai kötü amaçlı yazılımını yürütmek ve kötü niyetli bir şekilde uzaktan kök erişimi elde etmek için kullanılmasıdır.
İlk olarak 2016’da ortaya çıkan Mirai botnet kötü amaçlı yazılımı; gelişerek geri geliyor. Yazılım yönlendiricilere ve sunuculara bulaşarak ve saldırganlara devasa botnet ağlarını kontrol etme yeteneği vererek çalışır. En çok zarar veren Mirai saldırılarından biri, Ekim 2016’da Dyn DNS ağını sert bir şekilde vurdu ve internetin çoğunu yok etti.
Şimdi, Spring4Shell, Mirai’nin dönüşüne yardım ediyor. Spring4Shell’in hataları, dikkatlice kodlanmış bir istekle web sunucularına bir JSP web kabuğu yazmak için kullanıldı. Ardından uzak saldırganlar, kök erişimi olan komutları yürütmek için kabuğu kullandılar. Mirai, yürütülmeden önce bir web sunucusunun “/tmp” klasörüne indirilir.
Spring4Shell, ilk olarak Kasım 2021’de keşfedilen Log4Shell’e birçok yönden benzer. Log4J, 2001’den bugüne çok sayıda ağ günlüğü uygulamasında uygulanan Apache’nin Java günlük kaydı yardımcı programıdır. Çok çeşitli internet sunucularında ve hizmetlerinde çalışan biraz kullanışlı yazılım kodudur. Log4Shell güvenlik açığından yararlanmak, saldırganlara her türlü internet hedefine yönetici erişimi verebilir. Ars Technica’dan Dan Goodin, “tartışmasız şimdiye kadarki en ciddi güvenlik açığı” olarak nitelendirdi ve Apache, 6 Aralık’ta yamaları dağıtmaya başladı. Birden fazla CVE olduğu ve düzeltilmesi kolay olmadığı için bu kolay bir iş olmadı.
Spring4Shell ve Log4Shell, Java’nın geniş kitaplıkları ve kaynaklarıyla ilgilidir. Java, internet sunucularında ve başta Android cihazlar olmak üzere çeşitli uç nokta türlerinde en sık kullanılan uygulama geliştirme teknolojilerinden biridir. Bu kadar popüler ve kullanışlı bir teknolojinin dezavantajı, saldırganlar için de birincil hedef olacak olmasıdır. Kaçınılmaz olarak, önümüzdeki yıllarda keşfedilen çok daha yıkıcı Java kitaplığı güvenlik açıkları olacaktır.
İşletmeler, Spring4Shell ve Log4Shell güvenlik açıklarını tüm ağlarında yamalamak için hızla çalışmalıdır. Titiz ve sürekli sızma testleri, kuruluşların bu güvenlik açıklarını hızla tespit etmesine yardımcı olabilir. Geleneksel sızma testi yaklaşımı, kuruluşların en son karmaşık güvenlik açıklarını bulmasına ve düzeltmesine yardımcı olacak kadar sağlam değildir. Bu yüzden hemen Synack ile tanışın, bizi arayın!