Yakın vakitte keşfedilen yazılım yanılgısı son on yılın en kritik güvenlik açığı olarak isimlendiriliyor. Yaygın olarak kullanılan bir yazılım aracındaki kritik bir güvenlik açığı, dünya çapındaki kuruluşlar için büyük bir tehdit olarak ortaya çıkıyor.
“Log4Shell” olarak isimlendirilen yanılgı, yıllardır keşfedilen en berbat bilgisayar güvenlik açığı olabilir. Düzeltilmediği sürece; hatalılara, casuslara ve programlama konusunda acemilere, bedelli dataları yağmalayabilecekleri, makûs hedefli yazılım yerleştirebilecekleri, değerli bilgileri silebilecekleri ve çok daha fazlasını yapabilecekleri dahili ağlara kolay erişim sağlar.
Siber güvenlik firması Crowdstrike’ın istihbarattan sorumlu kıdemli lider yardımcısı Adam Meyers, “İnternet şu anda tehlikeli. Beşerler yama yapmak için çabalıyor ancak pek çok insan da bu durumdan yararlanmak için çabalıyor” dedi. Cuma sabahı, açığın ortaya çıkmasından sonraki 12 saat içinde makus niyetli şahısların bu durumdan yararlanmak için araçlar geliştirdiğini söyledi.
BÜYÜK ŞİRKETLER DE BÜYÜK RİSK ALTINDA
Web sitelerini makûs niyetli aktörlerden koruyan Cloudflare’in güvenlik şefi Joe Sullivan, “Risk altında olmayan bir şirket düşünmek beni çok zorluyor” dedi. Siber güvenlik firması Tenable’ın CEO’su Amit Yoran ise bunu “son on yılın en büyük, en kritik güvenlik açığı” olarak niteledi. Güvenlik açığı, yazılımın gelişimini denetleyen Apache Software Foundation tarafından birden 10’a kadar bir ölçekte 10 olarak derecelendirildi.
Yeni Zelanda’nın bilgisayar acil müdahale grubu, kusurun perşembe günü kamuya açıklanmasından ve bir yamanın yayınlanmasından yalnızca birkaç saat sonra makûs emelli kullanıldığını bildiren birinci bireyler ortasındaydı.
Web sitelerini ve öteki web hizmetlerini çalıştırmak için kullanılan açık kaynaklı Apache yazılımında bulunan güvenlik açığı, Çinli teknoloji devi Alibaba tarafından 24 Kasım’da vakfa bildirildi. Bir düzeltmenin geliştirilmesi ve yayınlanması iki hafta sürdü.
ÇOCUKLARIN BEĞENİLEN OYUNUNDA ORTAYA ÇIKTI
Yanılgıdan yararlanılmış olmasının birinci bariz işaretleri, çocuklar ortasında epeyce tanınan olan ve Microsoft’un sahibi olduğu çevrimiçi oyun Minecraft’ta ortaya çıktı. Meyers ve güvenlik uzmanı Marcus Hutchins, Minecraft kullanıcılarının bir sohbet kutusuna kısa bir ileti yapıştırarak başka kullanıcıların bilgisayarlarındaki programları yürütmek için aslında kullandığını söyledi.
Microsoft, Minecraft kullanıcıları için bir yazılım güncellemesi yayınladığını söyledi.
Araştırmacılar, Apple, Amazon, Twitter ve Cloudflare üzere şirketler tarafından işletilen sunucularda güvenlik açığından yararlanılabileceğine dair delil bulduklarını bildirdiler.
Cloudflare’den Sullivan, şirketinin sunucularının güvenliğinin ihlal edildiğine dair hiçbir belirti olmadığını söyledi. Apple, Amazon ve Twitter ise yorum taleplerine cevap vermedi.
Kaynak: Sözcü
