Geçtiğimiz haftalarda Lunasec araştırmacıları, java tabanlı loglama kütüphanesi Log4j’de bir güvenlik zafiyeti keşfetti. İlk olarak 1 Aralık’ta farkına varılan bu zafiyet, 9 Aralık’ta gündemimizde yer etmeye başladı. Siber Güvenlik uzmanları güvenlik açığının son derece kritik olduğunu dile getiriyor. Söz konusu zafiyet “Log4Shell” ismi ile anılıyor.
Log4j zafiyeti neden bu kadar önemli?
Her ne kadar Log4j’nin geliştirici ekibi ilk sürüm için 2015 yılında çalışmaya son verdiklerini açıklamış olsa da; bu java tabanlı loglama kütüphanesi, Log4j 2 ve 2.14.1 versiyonları ile günümüzde yaygın bir şekilde kullanılmaya devam ediyor. Öyle ki Apache Log4j’in Github projesi 400 binden fazla kişi tarafından indirildi.
2015 yılında Log4j’nin sonlandırılmasıyla, kullanıcıların Log4j 2 sürümünü kullanmaya teşvik edildiğini belirtelim. Bu teşvik ile birlikte, pek çok kurum ve geliştirici Log4j 2 ve onu takip eden sürümlere geçiş yaptı. Söz konusu açık Log4j 2 sürümünde saptandı. Bu da; bulut platformlarından web uygulamalarına hali hazırda kullandığımız sistemlerin, ciddi güvenlik açıklarıyla karşı karşıya olduğunu göstermekte. Hatta paylaşılan bilgilere göre; zafiyetten etkilenen şirketler arasında Amazon, Apple, Twitter, Baidu, Minecraft ve Tesla gibi teknoloji şirketleri de yer alıyor. Bunun yanı sıra Oracle, Cisco ve IBM gibi kurumsal şirketlere teknoloji çözümleri sunan şirketlerin de zafiyetten etkilenebileceği ifade ediliyor.
Log4j açığı nelere sebep olabilir?
Bahsi geçen problem kapsamında kötü niyetli kişiler, uzaktan erişim ile kod çalıştırma ve sunuculara uzaktan erişme gibi eylemleri gerçekleştirebilir. Ayrıca Microsoft paylaştığı bir blog yazısı ile saldırganların zayıflığa sahip sistemlere Cobalt Strike yükleyerek kullanıcı adı ve şifre çalma girişiminde bulunduğunu belirtti. Buna ek olarak saldırganların kripto madenciliği odağında kötü niyetli yazılımları da sistemlere sızdırmaya çalıştığı ifade ediliyor. Güvenlik şirketi Checkpoint, bu açığı Siber pandemi olarak tanımlarken, güvenlik zafiyetine yönelik dakika başına 100’den fazla saldırı girişiminde bulunulduğunu belirtiyor.
Uzaktan erişim ile kod çalıştırma problemine çözüm üreten Checkpoint, 72 saat içinde 830 binden fazla saldırı gerçekleştiğini belirtiyor. Saldırganlar ağırlıklı olarak kurumsal ağları hedef alıyor. Bu arada Apache ekibinin söz konusu açığı hafifletmek için bir yama yaparak Log4j 2.15.0 sürümünü yayına aldığını belirtelim. Siber güvenlik şirketlerinin önemini bize bir kez daha hatırlatan bu açık ile ilgili gelişmeleri aktarmaya devam edeceğiz.