Log4j, biroldukca eser, hizmet ve Java bileşeni tarafınca yaygın olarak kullanılan açık kaynaklı bir Java günlük kütüphanesidir. Kütüphanede yaşanan bu güvenlik açığı sorunu, siber güvenlik sanayisinin ötesinde birfazlaca kurum ve kuruluşu da etkiliyor. Şu an kütüphanede bulunan açığı istismar etmek isteyen saldırganlar ile bu açığı güncellemeler ile kapatmaya çalışan siber güvenlikçiler içinde bir yarış yaşanıyor.
Birçok durumda, BT sistemlerinin güncellenmesi ve güvenlik açıklarının düzeltmesi, işletme sahipleri için, BT grubunun bütçesini onaylamaları haricinde hayli az ilgilendikleri bir husus. Bu ilgisiz yaklaşım, kullandıkları birtakım yazılımlardaki güvenlik açığı niçiniyle siber hücum yahut data ihlali yaşayan diğer bir şirketin son dakika haberi ortaya çıktığında rahatsız edici olabiliyor. bu biçimde bir haberi okumak çabucak birkaç soruya yol açıyor, mesela “Şirketim bu yazılımı kullanıyor mu? Ve şayet bu biçimde, yamayı uyguladık mı?”
Log4Shell güvenlik açığı, örneklenen rahatsız edici soruların daha da fazlasına yol açıyor. Bu güvenlik açığı, dünya çapında kullanılan ve BT işçisinin bile kimi vakit haberi olmadan, şirketinizin kullandığı rastgele bir yazılımda basitçe bulunabilecek bir kod parçasını (Apache Log4j 2 kütüphanesi) içerir. Bu manada, BT güvenlik gruplarının tipik olarak uğraştığı şimdi öteki güvenlik açıklarına benzemez. Ayrıyeten, bu kodda bulunan zayıflıklardan yararlanmak hem saldırganlar için pek kolay tıpkı vakitte işletmeniz için tehlikelidir.
Uzak bir yerde bilgisayar ekranlarının ardında rahatça oturan ve Java programlama lisanı hakkında biraz bilgiyle donanmış olan siber hatalılar, interneti tarayabilir ve üzerinde çalışan bu kod kütüphanesinin savunmasız bir sürümüyle açıkta bekleyen sistemlerinizden rastgele birini tehlikeye atmak için makûs gayeli paketler gönderebilir. Sisteminiz bu biçimde makus hedefli bir paketi işlerse, saldırgan artık cihazlarınızdan birinin makûs gayeli bir web sitesine ulaşmasını ve berbat hedefli yazılımları indirmesini sağlayarak tüm sistemi ele geçirebilir, bu durumda da oyun daha başlamadan bitmiş olur. Birebir biçimde, ağınızın ortasında bulunan bir saldırgan da birebir atak yaklaşımını kullanarak başka sistemlere de kolay kolay girebilir.
Şimdiye kadar, ESET algılama sistemleri, saldırganların kripto para madencisi yahut Meterpreter sızma test aracı görünümünde Tsunami ve Mirai truva atları üzere ziyanlı yazılımları sisteme sokmaya çalıştıklarını gördü. Akınların ağırlaşması ve gelişmiş tehdit aktörlerinin sürüler halinde güvenlik açığını maksat almaları an sorunu üzere görünüyor.
Log4Shell güvenlik açığı, dünya çapında şirketlerin Log4j 2 kitaplığının savunmasız sürümlerini kullanarak geliştirdikleri tüm yazılımları yine denetlemelerine niye oldu. Yalnızca ESET sistemlerinin tespit ederek engellediği yüz binlerce atak teşebbüsü bulunuyor. Sistemlerinizi güncellemek için vakit kaybetmenin sırası değil.
İşletmeler, BT takımları ile birlikte öncelikli bir liste ile A’dan Z’ye tüm yazılım varlıklarının tam bir taramasını yapmalılar. Birfazlaca yazılım geliştirme şirketi mamüllerini aslına bakarsan denetledi ve bunların etkilenip etkilenmediği ve etkileniyorsa müşterilerin hangi azaltıcı tedbirleri almaları gerektiği konusunda müşteri tavsiyeleri yayınladı. BT grubunuzun bu müracaat tavsiyelerini süratlice incelemesi gerekiyor.
Kritik olarak, Log4j kitaplığının güvenlik açığı bulunan sürümleri tespit edildikten daha sonra, BT grupları kitaplığın şu anda 2.16.0 olan en son sürümüne güncellemelidir.
Birçok durumda, BT sistemlerinin güncellenmesi ve güvenlik açıklarının düzeltmesi, işletme sahipleri için, BT grubunun bütçesini onaylamaları haricinde hayli az ilgilendikleri bir husus. Bu ilgisiz yaklaşım, kullandıkları birtakım yazılımlardaki güvenlik açığı niçiniyle siber hücum yahut data ihlali yaşayan diğer bir şirketin son dakika haberi ortaya çıktığında rahatsız edici olabiliyor. bu biçimde bir haberi okumak çabucak birkaç soruya yol açıyor, mesela “Şirketim bu yazılımı kullanıyor mu? Ve şayet bu biçimde, yamayı uyguladık mı?”
Log4Shell güvenlik açığı, örneklenen rahatsız edici soruların daha da fazlasına yol açıyor. Bu güvenlik açığı, dünya çapında kullanılan ve BT işçisinin bile kimi vakit haberi olmadan, şirketinizin kullandığı rastgele bir yazılımda basitçe bulunabilecek bir kod parçasını (Apache Log4j 2 kütüphanesi) içerir. Bu manada, BT güvenlik gruplarının tipik olarak uğraştığı şimdi öteki güvenlik açıklarına benzemez. Ayrıyeten, bu kodda bulunan zayıflıklardan yararlanmak hem saldırganlar için pek kolay tıpkı vakitte işletmeniz için tehlikelidir.
Uzak bir yerde bilgisayar ekranlarının ardında rahatça oturan ve Java programlama lisanı hakkında biraz bilgiyle donanmış olan siber hatalılar, interneti tarayabilir ve üzerinde çalışan bu kod kütüphanesinin savunmasız bir sürümüyle açıkta bekleyen sistemlerinizden rastgele birini tehlikeye atmak için makûs gayeli paketler gönderebilir. Sisteminiz bu biçimde makus hedefli bir paketi işlerse, saldırgan artık cihazlarınızdan birinin makûs gayeli bir web sitesine ulaşmasını ve berbat hedefli yazılımları indirmesini sağlayarak tüm sistemi ele geçirebilir, bu durumda da oyun daha başlamadan bitmiş olur. Birebir biçimde, ağınızın ortasında bulunan bir saldırgan da birebir atak yaklaşımını kullanarak başka sistemlere de kolay kolay girebilir.
Şimdiye kadar, ESET algılama sistemleri, saldırganların kripto para madencisi yahut Meterpreter sızma test aracı görünümünde Tsunami ve Mirai truva atları üzere ziyanlı yazılımları sisteme sokmaya çalıştıklarını gördü. Akınların ağırlaşması ve gelişmiş tehdit aktörlerinin sürüler halinde güvenlik açığını maksat almaları an sorunu üzere görünüyor.
Log4Shell güvenlik açığı, dünya çapında şirketlerin Log4j 2 kitaplığının savunmasız sürümlerini kullanarak geliştirdikleri tüm yazılımları yine denetlemelerine niye oldu. Yalnızca ESET sistemlerinin tespit ederek engellediği yüz binlerce atak teşebbüsü bulunuyor. Sistemlerinizi güncellemek için vakit kaybetmenin sırası değil.
İşletmeler, BT takımları ile birlikte öncelikli bir liste ile A’dan Z’ye tüm yazılım varlıklarının tam bir taramasını yapmalılar. Birfazlaca yazılım geliştirme şirketi mamüllerini aslına bakarsan denetledi ve bunların etkilenip etkilenmediği ve etkileniyorsa müşterilerin hangi azaltıcı tedbirleri almaları gerektiği konusunda müşteri tavsiyeleri yayınladı. BT grubunuzun bu müracaat tavsiyelerini süratlice incelemesi gerekiyor.
Kritik olarak, Log4j kitaplığının güvenlik açığı bulunan sürümleri tespit edildikten daha sonra, BT grupları kitaplığın şu anda 2.16.0 olan en son sürümüne güncellemelidir.