Apple iCloud, Twitter, Cloudflare, Minecraft ve Steam dahil olmak üzere bir dizi popüler hizmetin, popüler bir Java günlük kitaplığını etkileyen sıfır gün açığına karşı savunmasız olduğu bildirildi. Siber güvenlik araştırmacıları, birçok şirketteki BT güvenlik ekiplerini “Log4Shell” adı verilen güvenlik açığını yamamaya zorladı.
“Sıfır gün istismarı” (yazılım/antivirüs şirketleri tarafından bilinmeyen bir yazılım güvenlik açığını hedefleyen bir siber saldırıdır), “log4j2” adı verilen yaygın olarak kullanılan Java kayıt sisteminde bulunur.
Güvenlik açığı, istismar edilirse, güvenlik açığı bulunan sunucularda uzaktan kod yürütülmesine (RCE) izin vererek, bilgisayar korsanlarına milyonlarca makinenin güvenliğini tamamen tehlikeye atacak kötü amaçlı yazılımları içe aktarma yeteneği sağlar.
LunaSec’teki araştırmacılar tarafından “Log4Shell” olarak adlandırılan ve Alibaba’dan Chen Zhaojun’a atfedilen güvenlik açığı, çok sayıda uygulama, web sitesi ve hizmette kullanılan açık kaynaklı bir günlük kaydı aracı olan Apache Log4j’de bulundu. Log4Shell ilk olarak Microsoft’a ait Minecraft’ta keşfedildi, ancak LunaSec, Log4j’nin neredeyse tüm büyük Java tabanlı kurumsal uygulamalarda ve sunucularda “her yerde bulunan” varlığı nedeniyle, çok sayıda hizmetin bu istismara karşı savunmasız olduğu konusunda uyardı. Bir blog gönderisinde siber güvenlik şirketi, Apache Struts kullanan herkesin “muhtemelen savunmasız” olduğu konusuna dikkat çekti.
Şimdiye kadar Log4Shell saldırısına karşı savunmasız olduğu doğrulanan sunucuları olan şirketler arasında Apple, Amazon, Cloudflare, Twitter, Steam, Baidu, NetEase, Tencent ve Elastic yer alıyor, ancak binlerce olmasa da yüzlerce işletme bu saldırıdan etkileniyor.
Apache Software Foundation, “log4j” deki sıfır gün güvenlik açığını düzeltmek için bir acil durum güvenlik güncellemesi de yayınladı.
Kaynak: TechCrunch
0 Comments