Hollanda Siber Güvenlik Ajansı, Devam Eden Log4j Riskleri Konusunda Uyardı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC) Perşembe günü yayınlanan bir uyarıda, kuruluşların hala Log4j saldırılarına bağlı risklerin farkında olmaları ve devam eden tehditlere karşı tetikte olmaları gerektiğini söyledi.
Log4Shell sömürüsüne bağlı son olayların ardından, birçok kuruluş bu kritik güvenlik açıklarını azaltmak için hızlı hareket ettiğinden "çok kötü değil" olsa da, NCSC, tehdit aktörlerinin büyük olasılıkla hala yeni hedefleri ihlal etmeyi planladığını söylüyor.
Hollanda siber güvenlik ajansı, "Kötü niyetli tarafların önümüzdeki dönemde savunmasız sistemleri aramaya ve hedefli saldırılar gerçekleştirmeye devam etmesi bekleniyor." dedi.
"Bu nedenle uyanık kalmak önemlidir. NCSC, kuruluşlara savunmasız sistemlerin kullanılıp kullanılmadığını izlemeye devam etmelerini ve gerektiğinde güncellemeleri veya hafifletici önlemleri uygulamalarını tavsiye eder.
"Ayrıca, NCSC yöneticilere Log4j ve kötüye kullanımın iş sürekliliği üzerindeki olası etkisi hakkında kendilerini bilgilendirerek tetikte olmalarını tavsiye ediyor."
Açık kaynaklı Apache Log4j günlük kitaplığının düzinelerce satıcının çok çeşitli sistemlerinde kullanıldığı göz önüne alındığında, Log4j güvenlik açıkları (Log4Shell dahil), hem finansal olarak motive olmuş hem de devlet destekli saldırganlar için çok çekici bir saldırı vektörüdür.
Özellikle Log4Shell, saldırganların hassas dahili sistemlere ulaşana kadar bir ağ üzerinden yanlamasına hareket etmelerini sağlamak için yerel veya İnternet erişimine maruz kalan sunucularda uzaktan kullanılabilir.
Açıklamanın ardından, Çin, İran, Kuzey Kore ve Türkiye'deki hükümetlerle bağlantılı bilgisayar korsanlığı grupları ve fidye yazılımı çeteleri tarafından kullanılan erişim komisyoncuları dahil olmak üzere birden fazla tehdit aktörü Log4Shell açıklarından yararlanmaya başladı.
İlgili Yazılar:
- Microsoft: SolarWinds, Log4j Saldırıları İçin Yararlanılan Serv-U Hatasını Düzeltti
- İranlı Hackerlar, PowerShell Arka Kapısını Dağıtmak için Log4j Güvenlik Açığını Kullanıyor
- Eyalet Hackerları, Log4j Saldırılarında Yeni PowerShell Arka Kapısını Kullanıyor
- Microsoft’tan Log4j Konusunda Yeni Uyarı!
- Log4j Keşfi İçin 4 Pratik Strateji
Log4j hala aktif sömürü altında
NCSC'nin uyarısı, dünya çapında devam eden Log4j sömürüsüne ilişkin çok sayıda uyarının dünya çapındaki hükümet ve özel kuruluşlar tarafından verildiğine göre iyi zamanlanmıştır.
Örneğin, Çarşamba günü Microsoft tarafından yayınlanan bir raporda, bilinmeyen tehdit aktörlerinin bir SolarWinds Serv-U sıfır gününü kullanarak Log4j saldırılarını bir kuruluşun dahili LDAP sunucularına yayma girişimlerinden bahsediliyor.
Ancak saldırılar başarısız oldu çünkü olayda hedeflenen Windows etki alanı denetleyicileri Log4j açıklarından yararlanmaya karşı savunmasız değildi.
Bir hafta önce Microsoft, Night Sky fidye yazılımını dağıtmak için İnternet'e açık VMware Horizon sunucularında Log4Shell açıklarını kullanan DEV-0401 olarak izlenen bir Çinli tehdit aktörü konusunda uyardı.
Microsoft, "4 Ocak gibi erken bir tarihte, saldırganlar, VMware Horizon çalıştıran internete yönelik sistemlerde CVE-2021-44228 güvenlik açığından yararlanmaya başladı" dedi.
"Araştırmamız, bu kampanyalardaki başarılı izinsiz girişlerin NightSky fidye yazılımının yayılmasına yol açtığını gösteriyor."
Microsoft'un raporlarından önce, 5 Ocak'ta İngiltere Ulusal Sağlık Servisi (NHS) tarafından Log4Shell açıklarından yararlanan VMware Horizon sistemlerini hedef alan saldırganlar hakkında yayınlanan başka bir uyarı geldi.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.