Log4j Güvenlik Açığı – (CVE-2021-44228)
Tek Satır Kod İle Minecraft Yönetici Yetkisi:
Popüler Java Loglama Kütüphanesi Log4j Güvenlik Açığı Minecraft Sunucuları Dahil Olmak Üzere Büyük Miktarda Java Tabanlı Sunucuyu Savunmasız Hale Getirebilir.
Apache Foundation tarafından yayınlanan ve Steam, Apple, Amazon, Cloudflare, Twitter, Tencent, Baidu gibi pek çok büyük firmanın bulut tabanlı internet hizmetlerinde loglama amacıyla kullandığı log4j yazılımının 2.0 ve 2.14.1 arasındaki versiyonlarında bir güvenlik açıkğı tespit edildi.
İlk olarak Minecraft sunucularında tespit edilen ve chat uygulaması üzerinden bile çalışan açık sayesinde tek satır kod yardımıyla uzaktan kod çalıştırma(RCE) yetkisi elde edilebildiği görüldü. Daha sonra aynı açığın loglama için Log4j kullanan çok farklı Java tabanlı uygulamalarda da olduğu tespit edildi. Bu açığı kullanan hacker ${} arasına kod yazarak yetkisiz işlem yapma fırsatı bulabiliyor. Yılbaşı tatil dönemi olması nedeniyle gerekli müdahalelerde gecikmeler olabileceği tahmin ediliyor.
Açığın ne kadar zarara yol açtığını tespit işlemleri henüz devam ederken Apache firması gerekli yamaların yapıldığı Log4j 2.15.0 versiyonunu yayınladı. Kurum tarfından yapılan açıklamada JVM “log4j2.formatMsgNoLookups” argümanının “True” yapılması ve JndiLookup class dosyasının silinmesi geçici bir önleme yöntemi olarak tavsiye edilsede. En iyi çözümün gerekli yazılım güncellemelerinin yapılması ve ilgili sistemlerdeki yetki yapılarının ve erişim bilgilerinin gözden geçirilmesi olduğu söylendi.
Kaynaklar(Resources):
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://logging.apache.org/log4j/2.x/security.html
