Önemli Bilgiler
- Binlerce çevrimiçi sunucu ve hizmet hala tehlikeli ve kolayca sömürülebilen loj4j güvenlik açığına maruz kalıyor, araştırmacıları bulun.
- Birincil tehditler sunucuların kendisi olsa da, açıkta kalan sunucular da son kullanıcıları riske atabilir, siber güvenlik uzmanlarına göre.
- Maalesef çoğu kullanıcının sorunu çözmek için en iyi masaüstü güvenlik uygulamalarını izlemenin yanı sıra yapabileceği çok az şey var.
Tehlikeli log4J güvenlik açığı, kolayca yararlanılabilen hata için bir düzeltmenin kullanıma sunulmasından aylar sonra bile ölmeyi reddediyor.
Rezilion'daki Siber güvenlik araştırmacıları, yöneticileri henüz güvenlik yamalarını uygulamamış, onları ve kullanıcılarını siber saldırılara maruz bırakan 68.000'den fazla potansiyel olarak savunmasız Minecraft sunucusu da dahil olmak üzere, internete yönelik 90.000'den fazla güvenlik açığı bulunan uygulama keşfetti. Ve bu konuda yapabileceğin çok az şey var.
Siber güvenlik hizmeti sağlayıcısı Cyphere'in Direktörü Harman Singh, Lifewire'a e-posta yoluyla "Maalesef log4j biz internet kullanıcılarına uzun süre musallat olacak" dedi. "Bu sorun sunucu tarafından kullanıldığından, [insanlar] bir sunucu güvenliğinin ihlal edilmesinin etkisinden kaçınmak için fazla bir şey yapamıyor."
Haunting
Log4 Shell olarak adlandırılan güvenlik açığı ilk olarak Aralık 2021'de detaylandırıldı. O zamanlar ABD siber güvenlik ve altyapı güvenlik ajansı (CISA) direktörü Jen Easterly, bir telefon brifinginde güvenlik açığını "en çok En ciddi olmasa da tüm kariyerimde gördüğüm ciddi."
Siber güvenlik test ve eğitim şirketi SimSpace'in Öğretim Lideri Pete Hay, Lifewire ile e-posta alışverişinde, sorunun kapsamının Apple, Steam gibi popüler satıcılardan gelen savunmasız hizmetlerin ve uygulamaların derlenmesinden ölçülebileceğini söyledi., Twitter, Amazon, LinkedIn, Tesla ve daha onlarcası. Şaşırtıcı olmayan bir şekilde, siber güvenlik topluluğu tüm gücüyle yanıt verdi ve Apache neredeyse anında bir yama yayınladı.
Bulgularını paylaşan Rezilion araştırmacıları, hatanın etrafındaki büyük miktarda medya kapsamı göz önüne alındığında, savunmasız sunucuların tümü olmasa da çoğunluğunun yamalanmış olacağını umdu. "Yanılmışız" diye şaşıran araştırmacılar yazıyor. "Ne yazık ki, işler ideal olmaktan uzak ve Log4 Shell'e karşı savunmasız birçok uygulama vahşi doğada hala var."
Araştırmacılar, Shodan Nesnelerin İnterneti (IoT) arama motorunu kullanarak savunmasız örnekleri buldu ve sonuçların buzdağının sadece görünen kısmı olduğuna inanıyor. Gerçek savunmasız saldırı yüzeyi çok daha büyük.
Risk Altında mısınız?
Oldukça önemli düzeyde açıkta kalan saldırı yüzeyine rağmen Hay, ortalama bir ev kullanıcısı için iyi haberler olduğuna inanıyordu. Hay, "Bu [Log4J] güvenlik açıklarının çoğu uygulama sunucularında bulunur ve bu nedenle ev bilgisayarınızı etkilemesi pek olası değildir," dedi.
Ancak, siber güvenlik sağlayıcısı WhiteSource ile Ürün Pazarlama Kıdemli Direktörü Jack Marsal, insanların çevrimiçi alışverişten çevrimiçi oyun oynamaya kadar her zaman internetteki uygulamalarla etkileşime girerek onları ikincil saldırılara maruz bıraktıklarına dikkat çekti. Güvenliği ihlal edilmiş bir sunucu, hizmet sağlayıcının kullanıcıları hakkında sahip olduğu tüm bilgileri potansiyel olarak açığa çıkarabilir.
"Bir kişinin etkileşimde bulunduğu uygulama sunucularının saldırılara açık olmadığından emin olmasının hiçbir yolu yoktur," diye uyardı Marsal. "Görünürlük basitçe mevcut değil."
Ne yazık ki, her şey ideal olmaktan uzak ve Log4 Shell'e karşı savunmasız birçok uygulama vahşi doğada hala var.
Olumlu bir kayda göre Singh, bazı satıcıların ev kullanıcılarının güvenlik açığını gidermesini oldukça basit hale getirdiğine dikkat çekti. Örneğin, resmi Minecraft bildirimine işaret ederek, oyunun Java sürümünü oynayan kişilerin, oyunun çalışan tüm örneklerini kapatması ve yamalı sürümü otomatik olarak indirecek olan Minecraft başlatıcısını yeniden başlatması gerektiğini söyledi.
Bilgisayarınızda hangi Java uygulamalarını çalıştırdığınızdan emin değilseniz süreç biraz daha karmaşık ve karmaşıktır. Hay,.jar,.ear veya.war uzantılı dosyaları aramayı önerdi. Ancak, bu dosyaların yalnızca varlığının, log4j güvenlik açığına maruz kalıp kalmadıklarını belirlemek için yeterli olmadığını da ekledi.
İnsanların, Carnegie Mellon Üniversitesi (CMU) Yazılım Mühendisliği Enstitüsü (SEI) Bilgisayar Acil Durum Hazırlık Ekibi (CERT) tarafından ortaya konan komut dosyalarını kullanarak bilgisayarlarını güvenlik açığı için taramalarını önerdi. Ancak, komut dosyaları grafiksel değildir ve bunları kullanmak komut satırına inmeyi gerektirir.
Her şey düşünüldüğünde, Marsal, günümüzün bağlantılı dünyasında, güvende kalmak için elinden gelenin en iyisini yapmanın herkesin görevi olduğuna inanıyordu. Singh, insanlara, güvenlik açığından yararlanılarak sürdürülen herhangi bir kötü amaçlı etkinliğin üstesinden gelmek için temel masaüstü güvenlik uygulamalarını izlemelerini kabul etti ve tavsiye etti.
Singh, "[İnsanlar] sistemlerinin ve cihazlarının güncellendiğinden ve uç nokta korumalarının yerinde olduğundan emin olabilir," diye önerdi Singh. "Bu, herhangi bir dolandırıcılık uyarısında ve vahşi istismarlardan kaynaklanan herhangi bir serpintiyi önlemede onlara yardımcı olacaktır."
