Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2021-44228 ve CVE-2021-45046 olarak izlenen iki Apache Log4j uzaktan kod yürütme güvenlik açığından etkilenen web hizmetlerini tanımlamak için bir tarayıcı yayınladığını duyurdu.
Yayınlanan tarayıcı siber güvenlik şirketi FullHunt tarafından geliştirilen CVE-2021-44228 zafiyeti (dublajlı ve Log4Shell) için otomatik bir tarama framework dahil olmak üzere benzer araçlara dayanmakta.
- URL liste desteği.
- 60’tan fazla HTTP istek başlığı için fuzzing (daha önce görülen araçlar gibi sadece 3-4 başlık değil).
- HTTP POST Veri parametreleri için fuzzing.
- JSON veri parametreleri için fuzzing.
- Güvenlik açığı keşfi ve doğrulaması için DNS geri aramasını destekler.
- WAF Bypass payloads.
Peki nasıl kullanılır?
İlk olarak bu adrese gidiyoruz. https://github.com/cisagov/log4j-scanner. Tüm dosyayı bilgisayarımıza indiriyoruz. Ben ubuntu üzerinde bu işlemi yapıyorum.
git clone https://github.com/cisagov/log4j-scanner.git
Daha sonra aşağıdaki dört adet gereksinimi kuruyorsunuz.
- requests
- termcolor
- PyCryptodome
- dnslib
Bunun için önce python paket yükleyici pip kurulumu yapıyoruz.
sudo apt install python3-pip
Sonra sırayla
pip install pycrypt
pip install requests
pip install termcolor
pip install dnslib
Tüm bu işlemlerden sonra hazırız. Burada yapmaya çalıştığımız şey, python script ile web sitesini taramak, tarama sonucu dns isteği cevabına bakmak, eğer dns cevabı dönüyorsa zafiyet olabilir kanısına varabiliriz. Bunun için bir dns sunucuya ihtiyacımız var ancak online bir tane kullanabiliriz. Ancak siz dışarıda bu işi yapmak istemezseniz içeriye kuracağınız bir DNS server ile de bunu yapabilirsiniz.
İlk olarak “http://www.dnslog.cn” adresine gidiyor ve “Get SubDomain” butonuna tıklayarak DBS adresimi alıyorum.
Sonrasında “urllist.txt” adında bir dosya oluşturuyor ve tarama yapmak istediğim domain adlarını giriyorum.
Son görüntü bu şekilde. Tüm dosyalar “log4-scanner” klasörü içerisinde.
Tarama zamanı!. Aşağıdaki kodda “se77q8.dnslog.cn” yazan benim dns adresim. Siz kendi dns adresinizi yazmanız gerekiyor.
python3 log4j-scan.py --test-CVE-2021-45046 --custom-dns-callback-host se77q8.dnslog.cn -l urllist.txt
Tarama bitti, şimdi DNS server’a gidip kontrol edelim. Aşağıda görüldüğü “Refresh Record” butonuna tıklıyorum ve her hangi bir kayıt gelmiyor. Bu sonuç sitelerde zafiyet yok diye düşünülebilir. Sizde kendi sayfalarınızda bu tarz kontroller sağlayabilirsiniz.
Kaynak: bleepingcomputer.com