Apache Log4j Java günlük kitaplığını etkileyen bir sıfırıncı gün zafiyetidir. Kritik bir zafiyet olarak karşımıza çıkan Log4j için, hackerlar da harekete geçti. Zafiyet ilk olarak 24 Kasım’da Alibaba Bulut Güvenlik Ekibi’nden Chen Zhaojun tarafından Apache’ye açıklandı.
Bu zafiyeti kullanmak son derece kolay. Aynı zamanda çevrimiçi olarak yayılan birden fazla PoC sayesinde saldırıların hızla arttığını görüyoruz. Sonuç olarak, bilgisayar korsanları, etkilenen sunucu üzerinde tam kontrol elde etmek için uzaktan kod yürütme saldırıları başlatmış durumda. Bu noktada Apache Software Foundation ise kullanılan kütüphane için yeni bir yazılım sürüm de yayınlandı.
Zafiyet, uygulama mesajlarını günlüğe kaydetmek için kullanılan bir kütüphaneden kaynaklanıyor. Durum mesajlarını bir dosyaya kaydeden basit bir işlevin nasıl bu kadar tehlikeli olabileceğini anlamak ilk başta zor da olsa, sorunun temeli, kullanılan kütüphanenin mesaj dizisinde kullanıcı tarafından belirlenen kodların yürütülmesi izin vermesidir.
Log4Shell (СVE-2021-44228) Zafiyeti Hakkında
Yeni sıfır gün saldırısı olan Log4Shell, sistem güvenliğinin ihlal edilmesini sağlayan, kimliği doğrulanmamış bir uzaktan kod yürütme saldırısıdır. Bu sorun Apache Struts2, Apache Solr, Apache Druid, Apache Flink gibi Apache çerçevelerinin çoğu için varsayılan yapılandırmaları etkilediğinden, hem kurumlar hem de bireysel kullanıcılar tarafından kullanılan çok çeşitli yazılım ve web uygulamalarında bulunmaktadır.
Şu anda tüm dünyadaki siber güvenlik uzmanları, savunmasız sistemler için İnternet genelinde taramalar yapıldığını bildiriyor. Birçok siber tehdit istihbarat uygulamasında da ip adresleri kara listeye alınmaya başlandı. Zafiyet, Apache’in geliştirdiği ve loglama için kullanılan Log4j kütüphanesinde bulunuyor ve bu uygulamanın 2.0-beta9 ile 2.14.1 sürümlerini etkiliyor.
Log4j kullanan tüm sistemlerde en kısa sürede, Apache Log4j 2.15.0 sürümüne güncelleme tavsiye ediliyor. Diğer bir yandan kurumların CVE-2021-44228 ile ilişkili tüm kötü niyetli etkinlikleri izlemeleri ve güvenliğinin ihlal edildiğini kanıtlayan anormallikleri tespit etmek de gerekiyor.
Güvenlik ortamınızdaki en son tehditleri tespit etmek, günlük kaynağınızı ve MITRE ATT&CK kapsamını iyileştirmek ve kuruluşunuzun siber güvenlik için yatırım getirisini artırmak için uzmanlarımızla iletişime geçebilir ve destek alabilirsiniz.
Güncel Tarama Listesi; Siber saldırganlar tarama yaparak internete açık tüm kaynakları tespit etmeye çalışıyor. Bu noktada aşağıdaki bağlantı üzerinden tespit edilen tarama iplerine de ulaşabilirsiniz.
https://raw.githubusercontent.com/CriticalPathSecurity/Public-Intelligence-Feeds/master/log4j.txt