Log4j 2.16 DoS saldırılarına karşı savunmasız, acil 2.17 yaması önerilir

Java kütüphanesi Log4j'deki kötü şöhretli güvenlik açığının etkisi sürüyor. Her ne kadar en büyük sorun acil yama 2.16 ile çözülmüş olsa da bu sürüm de kötüye kullanıma açık görünüyor. Güvenlik araştırmacıları Hizmet Reddi (DoS) saldırıları için bir giriş buldu. Girişi kapatmak için Log4j 2.17 yayınlandı.

Java kütüphanesinin geliştiricisi Apache, kuruluşlara acil durum yamasını uygulamalarını tavsiye ediyor. Bu tavsiye, kütüphanenin savunmasız olduğunun tespit edilmesinden bu yana üçüncü kez geçerlidir.

Bir buçuk hafta önce Alibaba'nın güvenlik araştırmacıları cloud güvenlik ekibi Log4j ile uygulamaları kötüye kullanmanın bir yöntemini ortaya çıkardı. Log4j, uygulamalarda olayları günlüğe kaydetmek için kullanılır. Kötü amaçlı yazılım çalıştırma talimatlarıyla birlikte kütüphanedeki uygulamalara dışarıdan erişmenin mümkün olduğu ortaya çıktı. İstismar bir çırpıda olmaktan biraz daha fazlasını alır. Buna çoğu kurumsal ortamda kitaplığın tahmini oluşumunu da ekleyince, küresel BT ortamının karşı karşıya olduğu felaketin boyutunu anlıyorsunuz.

Fortinet, Cisco, IBM gibi yazılım geliştiriciler ve daha onlarcası yazılımlarında kütüphaneyi kullanıyor. Geliştiricileri, güvenlik açığına yönelik ilk acil durum yamasını işlemek ve bunu kullanıcı kuruluşlarına sunmak için 11 Aralık hafta sonu boyunca fazla mesai yaptı. Bu kuruluşlardaki BT ekiplerinden de tam olarak aynı sapma bekleniyordu. Dünya çapında yüzbinlerce saldırı girişimi gerçekleşti. Herkes mümkün olan en kısa sürede 2.15'e geçmek zorundaydı; ta ki 2.15'in de savunmasız olduğu tespit edilene kadar.

Kitaplığın belirli yapılandırmaları sürüm 2.15'te mümkün olmaya devam etti. Bu yapılandırmaların kullanılması güvenlik açığının devam etmesine neden oldu. Sürüm 2.16, yeni bir yamayı garanti ederek yapılandırmaları imkansız hale getirdi. Çoğu zaman zaten gereğinden fazla çalışan BT ekiplerinin üzüntüsüne neden olur. Ancak her zaman daha kötüsü de olabilir çünkü 2.16'nın da bir rahatsızlığı var.

Başa dön

Soruna yönelik küresel ilgi, dünya çapında büyük araştırmalara yol açtı. Kütüphanenin geliştiricisi Apache, bir güvenlik şirketinin yeni ve acil bir soruna işaret etmesinden iki gün boyunca nefes alamayacak gibi görünüyor.

Kısacası, uygulamayı çökerten sonsuz bir döngüyü başlatmak için log4j'nin düzinelerce sürümünü (2.16 dahil) tek satırla (string) çalıştırmanın mümkün olduğu ortaya çıktı. Bir ortamın istismar edilebilmesi için taşıması gereken koşullar oldukça kapsamlıdır. O kadar kapsamlı ki sorunun pratikteki ciddiyeti tartışılıyor. Yama resmi olarak tavsiye ediliyor ancak herkes ikna olmuş değil.

Tekrar belirtmek isterim ki, Log4j'nin her örneği bu saldırıya açık değildir; yalnızca kütüphanenin özel ayarlarda çalıştığı durumlar bu saldırıya açıktır. Potansiyel bir saldırganın Log4j'in nasıl çalıştığına dair ayrıntılı bilgiye de ihtiyacı vardır. Başlangıçtaki kolay erişilebilen güvenlik açığının tam tersi.