Log4j nedir?
Log4j, Java ile yazılmış birkaç Java günlükleme framework’ünden biri olan bir günlük kaydı yardımcı programıdır.
Geçtiğimiz haftalarda Lunasec araştırmacıları, java tabanlı loglama kütüphanesi Log4j'de bir güvenlik açığı tespit etti. İlk olarak 1 Aralık'ta farkına varılan bu açığı, 9 Aralık'ta teknoloji gündeminde geniş yer almaya başladı.
Log4j neden önemli?
Log4j'nin geliştirici ekibi ilk sürüm için 2015 yılında çalışmaya son verdiklerini açıklamış olsa da bu java tabanlı loglama kütüphanesi, Log4j 2 ve 2.14.1 versiyonları günümüzde yaygın bir şekilde kullanılmaya devam ediyor. Bugüne kadar Apache Log4j'in Github projesi 400 binden fazla kişi tarafından indirildi.
Yapılan araştırmaya göre güvenlik açığı Log4j 2 sürümünde saptandı. Bulut platformlarından web uygulamalarına kadar hali hazırda kullandığımız sistemlerin, ciddi güvenlik açıklarıyla yüz yüze olduğunu göstermekte. Bu açıktan etkilenen şirketler arasında Amazon, Apple, Twitter, Baidu, Minecraft ve Tesla gibi teknoloji şirketleri de yer alıyor.
Siyah Şapkalı Hackerlar Bu Açığı Nasıl Kullanıyor?
Bahsi geçen açığı kullanan siyah şapkalı hackerlar, uzaktan erişim ile kod çalıştırma ve sunuculara erişme gibi eylemleri gerçekleştirebiliyorlar. Microsoft’un paylaştığı bir blog yazısın da siyah şapkalı hackerlar açığa sahip olan sistemlere Cobalt Strike yükleyerek ‘kullanıcı adı’ ve ‘parola’ çalma girişiminde bulunduğunu yazdı. Siyah şapkalı hackerlar dakika başına 100'den fazla atak girişiminde bulundunu belirtti. Güvenlik uzmanları, güvenlik açığının kaçınılmaz kalıcı etkisinin farkında olmanın önemli olduğunu, ancak sömürü çılgınlığı devam ederken ilk önceliğin bu açığı kısıtlamak için mümkün olduğunca fazla önlem almak olduğunu belirtiyor.
Peki bu açık nasıl tespit edilir?
Linux işletim sistemleri için;
Komut satırına “grep -r ‘org/apache/logging/log4/corelookup/JndiLookup.class’/” komutu yazılır, çıktı olarak “binary file matches”
Windows sistemler için; linke tıklayarak göz atabilirsiniz.
[GitHub] deposundan ilgili komutlar çalıştırılabilir.
Log4j, Java ile yazılmış birkaç Java günlükleme framework’ünden biri olan bir günlük kaydı yardımcı programıdır.
Geçtiğimiz haftalarda Lunasec araştırmacıları, java tabanlı loglama kütüphanesi Log4j'de bir güvenlik açığı tespit etti. İlk olarak 1 Aralık'ta farkına varılan bu açığı, 9 Aralık'ta teknoloji gündeminde geniş yer almaya başladı.
Log4j neden önemli?
Log4j'nin geliştirici ekibi ilk sürüm için 2015 yılında çalışmaya son verdiklerini açıklamış olsa da bu java tabanlı loglama kütüphanesi, Log4j 2 ve 2.14.1 versiyonları günümüzde yaygın bir şekilde kullanılmaya devam ediyor. Bugüne kadar Apache Log4j'in Github projesi 400 binden fazla kişi tarafından indirildi.
Yapılan araştırmaya göre güvenlik açığı Log4j 2 sürümünde saptandı. Bulut platformlarından web uygulamalarına kadar hali hazırda kullandığımız sistemlerin, ciddi güvenlik açıklarıyla yüz yüze olduğunu göstermekte. Bu açıktan etkilenen şirketler arasında Amazon, Apple, Twitter, Baidu, Minecraft ve Tesla gibi teknoloji şirketleri de yer alıyor.
Siyah Şapkalı Hackerlar Bu Açığı Nasıl Kullanıyor?
Bahsi geçen açığı kullanan siyah şapkalı hackerlar, uzaktan erişim ile kod çalıştırma ve sunuculara erişme gibi eylemleri gerçekleştirebiliyorlar. Microsoft’un paylaştığı bir blog yazısın da siyah şapkalı hackerlar açığa sahip olan sistemlere Cobalt Strike yükleyerek ‘kullanıcı adı’ ve ‘parola’ çalma girişiminde bulunduğunu yazdı. Siyah şapkalı hackerlar dakika başına 100'den fazla atak girişiminde bulundunu belirtti. Güvenlik uzmanları, güvenlik açığının kaçınılmaz kalıcı etkisinin farkında olmanın önemli olduğunu, ancak sömürü çılgınlığı devam ederken ilk önceliğin bu açığı kısıtlamak için mümkün olduğunca fazla önlem almak olduğunu belirtiyor.
Peki bu açık nasıl tespit edilir?
Linux işletim sistemleri için;
Komut satırına “grep -r ‘org/apache/logging/log4/corelookup/JndiLookup.class’/” komutu yazılır, çıktı olarak “binary file matches”
Windows sistemler için; linke tıklayarak göz atabilirsiniz.
[GitHub] deposundan ilgili komutlar çalıştırılabilir.
Son düzenleme:
