2022’ye siber güvenlik alanında görülen en ciddi zafiyetlerden biriyle başladık. Log4Shell farklı sektörlerde kullanılan yazılımlarda uzun süredir ve yaygın bir şekilde etkin olan Java kütüphanelerinden ortaya çıkan bir açık olarak 2021 Aralık ortasında tespit edildi.
Söz konusu zafiyeti ciddi kılan önde gelen özelliklerinin incelenmesinden,
- Saldırganlar tarafından kolaylıkla istismar edilebilmesini,
- Bilişim teknolojilerine ilaveten, üretim tesisleri, ulaştırma, hastaneler ve kamu kurumları gibi farklı alanlarında kullanılan sistemlerde bulunmasını ve
- Siber güvenlik uzmanlarından önce saldırganlar tarafından keşfedilmiş ve kullanılmış olmasını görüyoruz.
Bu açık üzerinden hedeflere gönderilen zararlı kodlar, saldırganların web sunucularından kontrol sistemlerine kadar her şeyin kontrolünü ele geçirmesine imkân sağlayabiliyor.
Log4Shell Nasıl Kullanıldı?
Erken gözlemlere göre, kripto madenciler anılan açıktan faydalanarak erişim sağlayabildikleri sistemlerin ve sunucuların işlem gücünü kullanmaya teşebbüs etti. İlk bakışta, fidye veya kişisel verilerin çalınması kadar maliyetli ve zararlı görünmemekle beraber, saldırganların sisteme bu açık üzerinden izinsiz giriş yapabilmesi başlı başına endişe verici.
Ancak, kripto madencilerin girişimlerini müteakip, daha tehlikeli addedilebilecek başka saldırı türleri ortaya çıktı. Birincisi, saldırganların kullanıcı adı ve şifreleri çalmak için kullandıkları sızma testi araçlarından birinin (Cobalt Strike) sistemlere yüklenmesidir. İkincisi, fidye yazılım saldırıları; bu durum, halihazırda yoğun olan fidye yazılım saldırılarının hızlanmasına sebep olabilir. Üçüncüsü ise, bazı devlet destekli saldırganların, muhtemelen siber casusluk amacıyla gerçekleştirdikleri eylemlerdir. Belçika Savunma Bakanlığı’nın Log4Shell aracılığıyla ağlarına saldırı düzenlendiğinin teyidi, üçüncü saldırı türünün komplovari olmadığının bir göstergesidir.
Yukarıda kayıtlı saldırı türleri, geçtiğimiz birkaç hafta içerisinde tespit edilip, bildirilenler. Siber güvenlik uzmanları, sistemlerindeki açıkları araştırıp kapatmaya çalışırken, saldırganlar benzer şekilde yeni yöntemler geliştirmeye çalışıyor.
Tehlike Geçti mi?
Tabiatıyla, Batı’da büyük teknoloji şirketleri bazı kamu kurumları önlem almaya başladı: sistem kontrollerini güçlendirdiler; gerekli güncellemeleri yaptılar, açığın kapatılması için kendi organizasyonlarına yönelik olabilecek diğer talimatları verdiler. Ayrıca, bu zafiyetten faydalandığı tespit edilen saldırgan IP adreslerinin listeleri, pek çok siber güvenlik araştırma grubu tarafından ortak çalışmayla çeşitli platformlarda yayımlanıyor.
Bununla birlikte, Java’yla yazılan ve küresel ölçekte farklı organizasyon ve bireyler tarafından kullanılan uygulamalar, hizmetler ve yazılımların yaygınlığı dikkate alındığında, hangi sistemlerin Log4Shell’den etkilendiğini ortaya koymak pek mümkün değil. Anılan zafiyetin tespiti halinde dahi, kısa sürede önlem alamayacak; dolayısıyla saldırganların muhtemel hedefi olacak şirketler bulunuyor.
Gerekli önlemlerin alındığı senaryoda dahi, Log4Shell açığından kaynaklı yeni zafiyetler keşfedileceği öngörülüyor.
Sonuç
Log4Shell zafiyeti, farklı sektörlerde yüz milyonlarca cihaza etki etmesi, saldırganlar tarafından kolayca istismar edilebilmesi ve dışarıdan sistem kontrolüne kadar imkân tanıyabilmesi sebebiyle, bilgisayar ve internetle bağlantılı tüm ağlar için siber alanda son yılların en ciddi açığı olarak değerlendiriliyor. Bu aşamada, alınabilecek ilk önlemler Log4j kütüphanesi kullanan yazılımların güncellenmesi veya ilgili servislerin sıkılaştırılması olarak sunulabilir. Ancak, henüz keşfedilmeyen potansiyel açıkları engellemek için siber güvenlik uzmanlarından destek alınması yararlı olacaktır.