Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), işletmelerin Log4j uzaktan kod yürütme güvenlik açıkları CVE-2021-44228 ve CVE-2021-45046’ya karşı savunmasız Web hizmetlerini bulmak için kullanabilecekleri açık kaynaklı bir tarayıcı yayınladı.
CISA yetkilileri GitHub’da “Log4j-scanner, kuruluşların log4j güvenlik açıklarından etkilenen potansiyel olarak savunmasız web hizmetlerini belirlemelerine yardımcı olmak için CISA tarafından açık kaynak topluluğunun diğer üyelerinden türetilen bir projedir.”
Depodaki bilgi ve kodun “olduğu gibi” sağlandığını, açık kaynak topluluğunun yardımıyla bir araya getirildiğini ve CISA tarafından daha geniş güvenlik topluluğuyla işbirliği yoluyla güncellendiğini belirttiler.
Yetkililer, Log4j güvenlik açıklarını kullanmanın muhtemelen daha fazla, hala bilinmeyen yolları olduğunu ve CISA’nın durum geliştikçe güncel kalmak için birden fazla platformu izlediğini belirtti.
İçinde cıvıldamak
21 Aralık’ta yayınlanan, Sekreter Alejandro Mayorkas, Log4j güvenlik açığının 15 Aralık’ta duyurulan yeni “Hack DHS” hata ödül programının kapsamına dahil edileceğini bildirdi. Program, DHS’de Log4j ile ilgili kusurları bulmak ve düzeltmek için ek teşvikler içerecek sistemleri, Mayorkas yazdı.
CISA tarayıcısına göz atın GitHub.