Log4j’de Salı günü, tehdit aktörleri tarafından etkilenen sistemlerde kötü amaçlı kod çalıştırmak için kötüye kullanılabilecek rastgele bir kod yürütme kusuru içeren yeni yamalar yayınladı ve bu, onu araçta keşfedilen beşinci güvenlik eksikliği haline getirdi.
CVE-2021-44832 olarak izlenen güvenlik açığı, 10 üzerinden 6,6 önem derecesine sahiptir ve 2.3.2 ve 2.12.4 dışında günlük kaydı kitaplığının 2.0-alpha7’den 2.17.0’a kadar olan tüm sürümlerini etkiler. Log4j 1.x sürümleri etkilenmese de, kullanıcıların Log4j 2.3.2’ye (Java 6 için), 2.12.4’e (Java 7 için) veya 2.17.1’e (Java 8 ve üstü için) yükseltmeleri önerilir.
“Apache Log4j2 2.0-beta7’den 2.17.0’a kadar olan sürümler güvenlik düzeltme sürümleri 2.3.2 ve 2.12.4 hariç, günlük yapılandırma dosyasını değiştirme iznine sahip bir saldırganın kötü amaçlı bir kod yürütme RCE saldırısına karşı savunmasızdır. ASF, bir danışma belgesinde, uzaktan kod yürütebilen bir JNDI URI’sine atıfta bulunan bir veri kaynağına sahip bir JDBC Ekleyicisi kullanarak yapılandırma mümkündür. “Bu sorun, JNDI veri kaynağı adlarının Log4j2 2.17.1, 2.12.4 ve 2.3.2 sürümlerinde Java protokolüyle sınırlandırılmasıyla giderildi.”denildi.
ASF tarafından sorun için herhangi bir kredi verilmemesine rağmen, Checkmarx güvenlik araştırmacısı Yaniv Nizry, 27 Aralık’ta güvenlik açığını Apache’ye bildirdiği için kredi talep etti.
Nizry, “Saldırganın yapılandırma üzerinde kontrol sahibi olmasını gerektirdiğinden, bu güvenlik açığının karmaşıklığı orijinal CVE-2021-44228’den daha yüksektir” dedi. “Logback’ten farklı olarak, Log4j’de bir uzaktan yapılandırma dosyası yükleme veya kod aracılığıyla kaydediciyi yapılandırma özelliği vardır, bu nedenle MitM saldırısıyla rastgele bir kod yürütmesi gerçekleştirilebilir, kullanıcı girişi savunmasız bir yapılandırma değişkeninde sona erer, veya yapılandırma dosyasını değiştirebilir.”
En son düzeltmeyle, proje sahipleri Log4Shell kusurunun bu ayın başlarında ortaya çıkmasından bu yana Log4j’deki toplam dört sorunu ele aldı ve Log4j 1.2 sürümlerini etkileyen ve düzeltilmeyecek olan beşinci bir güvenlik açığından bahsetmiyorum bile.
- CVE-2021-44228 (CVSS puanı: 10.0) – Log4j sürümlerini 2.0-beta9’dan 2.14.1’e etkileyen bir uzaktan kod yürütme güvenlik açığı (2.15.0 sürümünde düzeltildi)
- CVE-2021-45046 (CVSS puanı: 9.0) – 2.12.2 hariç Log4j sürümlerini 2.0-beta9’dan 2.15.0’a etkileyen bir bilgi sızıntısı ve uzaktan kod yürütme güvenlik açığı (2.16.0 sürümünde düzeltildi)
- CVE-2021-45105 (CVSS puanı: 7.5) – Log4j sürümlerini 2.0-beta9’dan 2.16.0’a etkileyen bir hizmet reddi güvenlik açığı (2.17.0 sürümünde düzeltildi)
- CVE-2021-4104 (CVSS puanı: 8.1) – Log4j sürüm 1.2’yi etkileyen güvenilmeyen bir seri durumdan çıkarma hatası (Düzeltme yok; Sürüm 2.17.1’e yükseltin)
Geliştirme ayrıca Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve ABD’deki istihbarat teşkilatlarının Apache’nin Log4j yazılım kitaplığındaki çoklu güvenlik açıklarının hain düşmanlar tarafından toplu olarak sömürülmesi konusunda ortak bir uyarı uyarısı yayınlamasıyla birlikte geliyor.
Bu makalemizi beğendiyseniz sizleri Log4Shell Güvenlik Açığı adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/log4shell-guvenlik-acigi/