Apache Log4j Güvenlik Açığı
Log4Shell olarak da bilinen Apache Log4j güvenlik açığı, Aralık ayının siber güvenlik haber öyküsüydü ve bunlardan biriydi. en anlamlı 2021 ve muhtemelen 2022. Yaygın olarak kullanılan Java günlük kitaplığındaki bir kusur, ilk olarak 9 Aralık’ta açıklandı. Güvenlik açığı ilk olarak Minecraft’ta keşfedildi ve uygulama kullanıcısı Java günlük kitaplığını kullandığı için kimliği doğrulanmamış uzaktan kod yürütülmesine izin veriyor.
Log4j, Apache Software Foundation’dan açık kaynaklı bir yazılımdır. Hataları ve rutin sistem olaylarını kaydeder, ardından bunlarla ilgili tanılama mesajlarını kullanıcılara ve sistem yöneticilerine iletir. Log4j’nin eylem halindeki bir örneği, bozuk bir bağlantıya tıkladığınızda veya bir URL’yi yanlış yazıp tarayıcınızda bir 404 hata mesajı aldığınızda verilebilir. Web sunucusu size böyle bir sayfa olmadığını söyler ve olayı Log4j kullanarak bir günlüğe kaydeder.
Log4j en popüler Java günlük kitaplığıdır. Web uygulamaları, bulut platformları ve e-posta hizmetleri dahil olmak üzere birçok sistemde kullanılmaktadır. Log4j kitaplığı, Amazon, Twitter ve Microsoft dahil olmak üzere aşina olduğumuz hemen hemen her İnternet uygulamasına veya hizmetine yerleştirilmiştir.
Log4j kitaplığının her yerde bulunması, onu manuel olarak düzeltmenin zorluğu ve Log4Shell’den yararlanmanın kolaylığı göz önüne alındığında, güvenlik açığının etkisi önümüzdeki yıllarda hissedilmeye devam edebilir. Mümkün olan en yüksek risk puanına atanmış olmasına şaşmamalı – 10 şiddetinde.
Halihazırda, bu güvenlik açığından yararlanmaya yönelik binlerce girişim, halka açıldıktan sadece birkaç saat sonra kaydedildi. Kötü aktörler, yaygın olarak düzeltilmeden önce yeni ortaya çıkan bir kusurdan yararlanmak istediklerinden, bu elbette nadir değildir. Ancak bu durumda, Log4j’nin yaygın kullanımı ve birçok kuruluşun ağlarının bir parçası olduğunun farkında olmaması, siber suçluların kusurdan en iyi şekilde yararlanmaya çalışması için alışılmadık derecede uzun bir pencere olabileceğini ima ediyor.
Kullanıcılar ve yöneticiler ısrar ediliyor Log4j’nin yükseltilmesi de dahil olmak üzere hafifletici kontrolleri hemen uygulamak.
DHS, Siber Güvenlik Hatası Ödül Programını Duyurdu
ABD İç Güvenlik Bakanlığı, belirli harici DHS sistemlerinde siber güvenlik açıklarını belirlemeye ve düzeltmeye yardımcı olmak için bir hata ödül programı başlattı. İlk olarak DHS Sekreteri tarafından Bloomberg Teknoloji Zirvesi’nde açıklanan ‘DHS hack’ programı güvenlik açığının ciddiyetine bağlı olarak 500 ila 5000 dolar arasında ödeme yapacaktır.
Herkese açık olan düzenli ödül programlarının aksine, katılımcı araştırmacılar, DHS sistemlerine erişmeye davet edilmeden önce incelenecektir. ‘DHS’yi Hackleyin’ başarısı üzerine kuruludurPentagon’u Hackleyin‘, 2016 yılında başlatılan ve 7.000’den fazla güvenlik açığını ortaya çıkaran öncü federal program.
‘DHS’yi Hackleyin’, tümü 2022’ye kadar sürecek olan üç aşamadan oluşacak. Birincisi, bilgisayar korsanlarının DHS sistemlerini analiz etmeye davet edildiği sanal bir değerlendirme. İkincisi, canlı bir hack olayı. Üçüncüsü, güvenlik açığının belirlenmesi, gözden geçirilmesi ve gelecekteki ödül programlarının planlanması. Program tarafından belirlenen kurallara göre yönetilecektir. DHS’nin CISA’sı katılımcıların, buldukları güvenlik açıklarını azaltmak ve düzeltmek için kullanılabilecek keşfettikleri tüm bilgileri ifşa etmelerini istemek.
Programın amacı, yalnızca gelecekteki hata ödüllerini planlamanın temeli olmayacak, aynı zamanda devlet kurumlarının siber güvenlik dayanıklılıklarını güçlendirmek için kullanabilecekleri bir plan görevi görecek.
Kaynak : https://techtalk.gfi.com/top-cyber-stories-for-december-2021/