Son günlerde ortaya çıkan Log4j adlı günlük kitaplığındaki güvenlik açığı, Çin, İran, Kuzey Kore ve Türkiye merkezli hackerlar tarafından istismar ediliyor olabilir. Microsoft, Türkiye destekli hackerları uyardı.
İnternet erişimi olmayan uzak bir adada bulunmadıysanız, Log4j adlı kayıt yazılımındaki güvenlik açığıyla ilgili yazımızı son zamanlarda görmüş olmalısınız. Log4j, birçok üçüncü taraf uygulamasında kullanılan Java tabanlı bir günlük kitaplığıdır. Ayrıca Apache Logging Services'in bir parçasıdır.
Kendi dahili uygulamalarını kodlayan büyük şirketlerde, muhtemelen bu yazılımı kullandıklarını bilen ve zaten bunu azaltmak için adımlar atan personeli üzerinde kodlayıcılar vardır. Dahili uygulamalar için Log4j yazılımını en son sürümlere güncellemeniz gerekiyor.
Ancak danışmanlar ve küçük ve orta ölçekli işletmeler, bu güvenlik açığından etkilenebilecek güvenlik açığı bulunan yazılımların yüklü olduğunun farkında olmayabilir. Siber güvenlik uzmanları, savunmasız olup olmadıklarını belirlemek için kaynaklara sahip dahili ekipleri olmayan danışmanlar ve işletmeler için çok sayıda kaynak hazırladı.
Microsoft Tehdit İstihbarat Merkezi (MSTIC), Microsoft 365 Defender Tehdit İstihbarat Ekibi, RiskIQ ve Microsoft Algılama ve Yanıt Ekibinden (DART) oluşan Microsoft'un birleşik tehdit istihbarat ekibi ise “Log4Shell” olarak adlandırılan bir uzaktan kod yürütmeden yararlanan tehditleri takip etti.
Microsoft Türkiye destekli hackerları uyardı
MSTIC ekibi güvenlik açığının Çin, İran, Kuzey Kore ve Türkiye merkezli çok sayıda ulus devlet faaliyet grubu tarafından kullanıldığını gözlemledi. Bu aktivite, geliştirme sırasında deney yapmaktan, güvenlik açığının yük dağıtımı entegrasyonundan ve aktörün hedeflerine ulaşmak için istismara kadar uzanıyordu.
Örneğin MSTIC, fidye yazılımı dağıtan, Log4j istismarını satın alan ve üzerinde değişiklikler yapan İranlı bir aktör olan PHOSPHORUS'u gözlemledi.
Ayrıca, Çin dışında faaliyet gösteren bir tehdit aktörü grubu olan HAFNIUM'un, tipik hedeflemelerini genişletmek için sanallaştırma altyapısına saldırmak için güvenlik açığını kullandığını dile getirdi.
Bu saldırılarda HAFNIUM ile ilişkili sistemler, tipik olarak parmak izi sistemlerine yönelik test etkinliğiyle ilişkilendirilen bir DNS hizmeti ile takip edildi.
Kötü aktörler bu açığı sunucularda uzaktan kod yürütmek için kullanabilir, şirketlerin ve insanların verilerini tehlikeye atacak kötü amaçlı yazılımları indirmeye ve çalıştırmaya yönlendirebilir.
YORUMLAR