[vc_row][vc_column][vc_column_text]Log4j, Apache Software Foundation tarafından geliştirilen bir loglama kütüphanesidir. Sistemlerde bu kütüphanenin kullanılabilmesi için log4j.jar ve log4j tanımlarının yapıldığı properties dosyalarına ihtiyaç bulunmaktadır.

Bu kütüphane, java uygulamalarında kullanabileceğimiz bir java kütüphanesidir. Bunun yanı sıra log4php(PHP), log4net(.NET), log4cxx(C++) gibi diğer programlama dillerinde kullanılabilecek loglama kütüphaneleri de bulunmaktadır.

Genel olarak hataların loglanması(günlüğe kaydedilmesi) işleminin en kolay yollarından birisi bu kütüphanenin kullanılması olduğu için çoğu Java geliştiricisi bu kütüphaneyi kullanmaktadır.

Geçtiğimiz günlerde Apache Log4j kütüphanesi içerisinde ortaya çıkan ve CVE-2021-44228 CVE numarasına sahip CVSS düzeyi 10/10 olan kritik derecede bir güvenlik açığı keşfedilmiştir. Buna bağlı olarak kütüphaneyi kullanan milyonlarca java uygulaması dışarıdan gelecek saldırılara savunmasız hale gelmiştir. Bunun sonucunda Apache Foundation, bu kütüphaneyi kullanan tüm geliştiricilerin kütüphanelerini 2.15.0 sürümüne yükseltmelerini, eğer yükseltmeleri mümkün değil ise Apache Log4j Güvenlik Açıkları sayfasında belirtilen yöntemlerden birini kullanmalarını önermiştir.

Log4j Zafiyeti Neden Bu Kadar Kritik ?

Log4Shell ya da LogJam olarak da isimlendirilen bu zafiyet, Uzaktan Kod Yürütme (Remote Code Execution-RCE) zafiyeti sınıfında yer alan bir güvenlik açığıdır.

Saldırganlar bu güvenlik açığı ile sistemde isteğe bağlı olarak kod yürütme ve potansiyel olarak sistemin tüm kontrolünü ele geçirme imkanına sahip olurlar. Bu zafiyetin tehlikeli olmasının nedeni güvenlik açığından kolay bir şekilde yararlanılmasıdır. Deneyimsiz bir saldırgan bile bu güvenlik açığını istismar edebilir.

Siber Araştırmacılar saldırganın, uygulama günlüğüne tek bir dize (string) yazdırmaya zorlaması bu saldırı için yeterli düzeyde olacağını belirtiyor. Daha sonrasında message lookup substitution (mesaj arama değişim) fonksiyonu sayesinde isteğe bağlı kendi kodlarını uygulama içerisine yükleyebiliyor.

Bu güvenlik açığına sahip uygulamalara yönelik gerçekleştirilen saldırılar ile ilgili Kavram Kanıtlarına (Proof of Concept-PoC) internet üzerinden ulaşabilirsiniz.

CVE-2021-44228 güvenlik açığı, Alibaba Bulut Güvenlik Ekibinden Chen Zhaojun tarafından kaşfedildi.

Hangi Platformlar Log4j Kullanıyor?

Bu kritik derecedeki güvenlik açığı Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter ve daha bir çok büyük şirket olmak üzere çok sayıda yazılım şirketi ve online servis bu kütüphaneyi kullanıyor.

Güvenlik araştırmacıları, zafiyetin istismar edilmesinin kolay olması ve Log4j kütüphanesinin bu kadar popüler olması nedeniyle önümüzdeki günlerde savunmasız sunuculara yapılan saldırılarda önemli olçüde artış olacağını belirtiyor.[/vc_column_text][/vc_column][/vc_row]