Federal Bilgi Güvenliği Ofisi BSI, Log4j Java kitaplığı ve Log4Shell güvenlik açığı nedeniyle kırmızı alarm verdi. Sorun, son derece kritik bir tehdit durumuna yol açar.
Federal Bilgi Güvenliği Ofisi'ne (BSI) göre, yaygın Java kitaplığı Log4j'deki kritik güvenlik açığı (Log4Shell) son derece kritik bir tehdit durumuna yol açıyor. BSI bu nedenle mevcut siber güvenlik uyarısını kırmızı uyarı seviyesine yükseltti. Bu değerlendirmenin nedeni, etkilenen ürünün çok geniş bir dağılıma sahip olması ve buna bağlı olarak sayısız diğer ürün üzerindeki etkisidir. Güvenlik açığı önemsiz bir şekilde de kullanılabilir, bir kavram kanıtı herkese açıktır. Güvenlik açığından başarıyla yararlanılması, etkilenen sistemin tamamen ele geçirilmesini sağlar. BSI, dünya çapında ve Almanya çapında toplu taramaların ve uzlaşma girişimlerinin farkındadır. İlk başarılı tavizler de kamuya açıklanır.
Log4j: Güvenlik açığı önemsiz düzeyde kullanılabilir
BSI'ya göre, tehdit durumunun tam kapsamı şu anda kesin olarak belirlenemiyor. Etkilenen Java kitaplığı Log4j için bir güvenlik güncelleştirmesi olmasına rağmen, Log4j kullanan tüm ürünlerin de uyarlanması gerekir. Java kitaplığı, diğer ürünlerde belirli bir işlevi uygulamak için kullanılan bir yazılım modülüdür. Bu nedenle, genellikle yazılım ürünlerinin mimarisine derinlemesine bağlıdır. Hangi ürünlerin savunmasız olduğu ve hangileri için zaten güncellemelerin olduğu şu anda tam olarak net değil ve bu nedenle duruma göre kontrol edilmelidir. Önümüzdeki birkaç gün içinde daha fazla ürünün savunmasız olarak tanımlanması beklenebilir.
Uygulama için önerilen karşı önlemler
BSI özellikle şirketlere ve kuruluşlara siber güvenlik uyarısında belirtilen savunma önlemlerini uygulamalarını tavsiye eder. Ayrıca kendi sistemlerini uygun bir şekilde izleyebilmeleri için kısa vadede algılama ve tepki verme kabiliyetlerinin artırılması gerekmektedir. Tek tek ürünler için güncellemeler mevcut olur olmaz, bunların içe aktarılması gerekir. Ek olarak, savunmasız olan tüm sistemler uzlaşma açısından incelenmelidir.
BSI.bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.