Geçtiğimiz günlerde Apache Log4j Java tabanlı logging library’de zero-day zafiyeti testip edildi ve bunu nedeni olarak zafiyeti daha kritik hale getiren ise PoC istismar kodunun yayınlanmış olması gösteriliyor. Log4j , Apache Foundation tarafından geliştirilmiştir ve hem kurumsal uygulamalar hem de bulut hizmetleri tarafından aktif olarak kullanılıyor. Sadece küçük ve orta ölçekli şirketler değil aynı zamanda Apple, Amazon, Cloudflare, Twitter ve Steam gibi şirketlerin istismara açık durumda olduğu düşünülüyor.
Güvenlik şirketi Lunasec, CVE-2021-44228 RCE açıklarını kullanan saldırıların ciddiyetinin altını çizdi. Lunasec, “Pek çok hizmet bu istismara karşı savunmasız. Steam, Apple iCloud gibi bulut hizmetleri ve Minecraft gibi uygulamaların savunmasız olduğu ortaya çıktı” dedi. Ayrıca yapılan açıklamada “Apache Struts kullanan herkes muhtemelen savunmasızdır. Daha önce 2017 Equifax veri ihlali gibi ihlallerde benzer güvenlik açıklarından yararlanıldığını gördük.” dedi.
Akla gelen en önemli soru ” Log4j, başlangıcından bu yana rastgele kod yürütmeye karşı savunmasız mıydı?” olmakta. Eğer bu sorunun cevabı evet ise Log4j örneğinin ana makinede kötü amaçlı kod çalıştırmasına izin vereceği anlamına gelmektedir.
Günlüğe kaydetme, çoğu uygulamanın ayrılmaz bir parçasıdır. Günlükler, geliştiricilerin ve mühendislerin yazılım ürünlerinde neyin doğru neyin yanlış gittiğini anlamalarına yardımcı olur ve bu da kullanıcının karşılaşabileceği sorunları teşhis etmeye yardımcı olabilir.
Kendinizi Log4j güvenlik açığından korumak ve riskleri azaltmak için birkaç şey yapabilirsiniz. Öncelikle uygulamalarınızda Log4j kullanıyorsanız en son sürüme güncellendiklerinden emin olun. İkinci olarak, Log4j dosyalarınıza hangi kodu eklediğinize dikkat edin. Yalnızca doğrulanmış ve güvenli olduğu bilinen güvenilir kodu kullanın. Son olarak, Log4j bu güvenlik açığını giderene kadar alternatif bir günlük kaydı çözümü kullanmayı düşünün. İhtiyaçlarınıza daha uygun olabilecek birkaç başka açık kaynaklı günlük kaydı çözümü vardır.
Lg4j Açığına Karşı Alınması Gereken Önlemler
- Log4j, uygulama davranışını, sistem etkinliğini veya diğer olay verisi kategorilerini günlüğe kaydetmek için kitaplıklar sağlayan açık kaynaklı bir projedir.
- Uygulamalarınızda Log4j kullanıyorsanız, en son sürüme güncellendiklerinden emin olun.
- Dosyalarınıza hangi kodu eklediğinize dikkat edin. Yalnızca doğrulanmış ve güvenli olduğu bilinen güvenilir kodu kullanın.
- Log4j bu güvenlik açığını giderene kadar alternatif bir günlük kaydı çözümü kullanmayı düşünün. İhtiyaçlarınıza daha uygun olabilecek birkaç başka açık kaynaklı günlük kaydı çözümü vardır. Bazı seçenekler için Logstash, rsyslog ve Splunk’a göz atın.
- Günlüğe kaydetme çözümlerini değiştiremiyorsanız, sistemlerinizi bu güvenlik açığından korumak için ek önlemler aldığınızdan emin olun. Log4j, güvenlik bulmacanızın yalnızca bir parçasıdır. Birden çok savunma katmanı içeren kapsamlı bir güvenlik stratejiniz olduğundan emin olun.
Açığın ne kadar zarara yol açtığını tespit işlemleri henüz devam ederken Apache firması gerekli yamaların yapıldığı Log4j 2.15.0 versiyonunu yayınladı. Kurum tarafından yapılan açıklamada JVM “log4j2.formatMsgNoLookups” argümanının “True” yapılması ve JndiLookup class dosyasının silinmesi geçici bir önleme yöntemi olarak tavsiye ediliyor. En iyi çözümün gerekli yazılım güncellemelerinin yapılması ve ilgili sistemlerdeki yetki yapılarının ve erişim bilgilerinin gözden geçirilmesi olduğu söyleniyor.
Sızma Testleri
Sızma Testleri, şirketinizin bilişim sisteminin hacker saldırılarına karşı ne kadar korunduğunu kontrol etmeyi sağlayan testlerdir. Bu testler ile şirketinizin bilişim faaliyetlerini sabote etmek amacıyla kötü niyetli kişiler tarafından yapılabilecek olası saldırılar önlenmeye çalışılır.