Pazartesi, Ocak 24, 2022
spot_img
Ana SayfaTeknoloji HaberleriBir Log4J Güvenlik Açığı İnterneti 'Ateş Etti'

Bir Log4J Güvenlik Açığı İnterneti ‘Ateş Etti’

Bir güvenlik açığı yaygın olarak kullanılan bir kayıt kitaplığı, internetteki dijital sistemleri etkileyen tam bir güvenlik çöküşü haline geldi. Bilgisayar korsanları zaten bundan yararlanmaya çalışıyor, ancak düzeltmeler ortaya çıksa bile, araştırmacılar kusurun dünya çapında ciddi yankıları olabileceği konusunda uyarıyorlar.

Sorun, geliştiricilerin bir uygulama içinde etkinlik kaydını tutmak için kullandığı, her yerde bulunan, açık kaynaklı bir Apache günlük kaydı çerçevesi olan Log4j’de yatmaktadır. Güvenlik görevlileri, güvenlik açığı bulunan sistemlerin kontrolünü uzaktan ele geçirmek için kolayca kullanılabilecek hatayı düzeltmeye çalışıyor. Aynı zamanda, bilgisayar korsanları etkilenen sistemler için interneti aktif olarak tarıyor. Bazıları, doğru koşullar altında bir savunmasız sistemden diğerine bağımsız olarak yayılabilen solucanların yanı sıra, hatadan otomatik olarak yararlanmaya çalışan araçlar geliştirmiştir.

Log4j bir Java kitaplığıdır ve programlama dili bu günlerde tüketiciler arasında daha az popüler olsa da, kurumsal sistemlerde ve web uygulamalarında hala çok geniş bir kullanımdadır. Araştırmacılar Cuma günü WIRED’e birçok ana hizmetin etkilenmesini beklediklerini söyledi.

Örneğin, Microsoft’a ait Minecraft Cuma günü, oyunun Java sürümünün oyuncularının sistemlerine nasıl yama yapmaları gerektiğine dair ayrıntılı talimatlar yayınladı. Gönderi, “Bu istismar, Minecraft Java Edition dahil olmak üzere birçok hizmeti etkiliyor” diyor. “Bu güvenlik açığı, bilgisayarınızın güvenliğinin ihlal edilmesi konusunda potansiyel bir risk oluşturuyor.” Cloudflare CEO’su Matthew Prince tweetlendi Cuma günü, sorunun “o kadar kötü” olduğunu ve internet altyapı şirketinin ücretsiz hizmet katmanındaki müşteriler için bile en azından bir miktar koruma sağlamaya çalışacağını söyledi.

Bir saldırganın kusurdan yararlanmak için yapması gereken tek şey, stratejik olarak Log4j tarafından günlüğe kaydedilen kötü amaçlı bir kod dizesi göndermektir. Bu istismar, bir saldırganın bir sunucuya rastgele Java kodu yüklemesine ve kontrolü ele geçirmesine olanak tanır.

Açık kaynak veri güvenliği platformu LunaSec’in CEO’su Free Wortley, “Bu, feci boyutlarda bir tasarım hatası” diyor. Şirketteki araştırmacılar Perşembe günü Log4j güvenlik açığının bir uyarısını ve ilk değerlendirmesini yayınladılar.

Minecraft forumlarda dolaşan ekran görüntüleri, oyuncuların güvenlik açığından yararlandığını gösteriyor. Minecraft sohbet işlevi. Cuma günü, bazı Twitter kullanıcıları görünen adlarını istismarı tetikleyebilecek kod dizeleriyle değiştirmeye başladı. Başka kullanıcı iPhone adını değiştirdi aynısını yapmak ve bulguyu Apple’a göndermek. Araştırmacılar, WIRED’e yaklaşımın potansiyel olarak e-posta kullanarak da çalışabileceğini söyledi.

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı, Avustralya’nın CERT’si gibi Cuma günü güvenlik açığı hakkında bir uyarı yayınladı. Yeni Zelanda hükümetinin siber güvenlik kuruluşu uyarısı, güvenlik açığının aktif olarak istismar edildiğini bildirdi.

Wortley, “Oldukça kötü,” diyor. “Pek çok insan savunmasız ve bundan yararlanmak çok kolay. Bazı hafifletici faktörler var, ancak bu gerçek dünya olduğundan, mevcut sürümlerde olmayan ve bunu düzeltmek için çabalayan birçok şirket olacak.”

Apache, güvenlik açığını “kritik” önem derecesine sahip ve Cuma günü yayınlanan yamalar ve azaltıcı etkenler olarak değerlendiriyor. Kuruluş, Alibaba Bulut Güvenlik Ekibi’nden Chen Zhaojun’un güvenlik açığını ilk kez açıkladığını söylüyor.

RELATED ARTICLES

CEVAP VER

Please enter your comment!
Please enter your name here

- Advertisment -
Google search engine

Most Popular

Recent Comments