[By Mike Walters, President and co-founder of Action1]
Log4j kütüphanesindeki kritik bir güvenlik açığı olan Log4Shell’in keşfedilmesiyle siber güvenlik dünyasının sarsılmasının üzerinden iki yıl geçti. İlk olarak 9 Aralık 2021’de keşfedilen bu efsanevi kusur, yüz binlerce sistemi potansiyel saldırılara maruz bıraktı. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) başkanı Jen Easterly, bunu onlarca yıllık kariyerinde gördüğü “en ciddi kusur” olarak nitelendirdi. Log4Shell’in ortaya çıkmasından bu yana kötü aktörler, bu güvenlik açığı aracılığıyla, arka kapılar oluşturmalarına ve diğer yasa dışı faaliyetleri gerçekleştirmelerine yardımcı olan madeni para madencileri, botnet’ler ve kötü amaçlı yazılımlar da dahil olmak üzere çeşitli yükler yayıyor. Log4Shell’i kullanan en kötü şöhretli tehditler Dridex ve Conti’dir.
Log4Shell bugün bile dijital alanda siber güvenlik profesyonellerinin dikkatini çeken unutulmaz bir varlık olmaya devam ediyor. Log4Shell’in ikinci yıl dönümüne yaklaşırken, yarattığı tehlikelere, kuruluşların kendilerini korumak için alması gereken önlemlere ve ortak kütüphanelerdeki güvenlik açıklarının artmaya devam edip etmeyeceğine ilişkin daha geniş soruyu ele alalım.
Log4Shell’i ve Kalıcı Etkisini Anlamak
Java tabanlı uygulamaların temelini oluşturan bir günlük kütüphanesi olan Log4j, resmi keşfinden önce onlarca yıldır Log4Shell güvenlik açığına açıktı. Java’nın, IoT cihazları ve kritik altyapı da dahil olmak üzere milyarlarca sistemde yaygın olarak kullanılması nedeniyle, güvenlik açığının kapsamı oldukça geniştir. Log4Shell, Log4j’nin LDAP ve JNDI sunucularına yönelik istekleri uygun doğrulama olmadan çözümleme yeteneğinden yararlanarak saldırganlara rastgele Java kodu yürütme veya hassas bilgilere erişme yeteneği kazandırır.
Kritik puanı 10 olan ve CVE-2021-44228 olarak etiketlenen bu güvenlik açığı Microsoft, Amazon ve IBM gibi büyük şirketleri etkiledi. 2023 yılına girerken etkileri sürüyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yakın zamanda kuruluşları, tehdit aktörlerinin, güvenlik açığı taraması ve açık kaynak araştırması yoluyla keşfedilme kolaylığı nedeniyle saldırılarında Log4Shell istismarını hala sıklıkla kullandığı konusunda uyardı. Ajans, kuruluşlara Log4Shell’i kendi ortamlarında yamalamaya öncelik vermelerini tavsiye ediyor.
2023 Arctic Wolf Labs araştırması, Log4j’nin, 2022’de tehdit aktörleri tarafından kullanılan en büyük beş harici yazılım açıklarından dördü arasında yer aldığını ortaya çıkardı. Tenable’a göre, Ekim 2022’de kuruluşların %72’si Log4Shell’e karşı savunmasız kaldı. Bu yüzdelerin, O zamandan beri pek azalmadı.
Log4Shell Neden Bir Tehdit Olarak Devam Ediyor?
Log4Shell güvenlik açığı, tespit edilmesi ve giderilmesinde benzersiz bir dizi zorluk sunar. Kurulumu kolay yamanın varlığına rağmen, karmaşık altyapılarda Log4Shell’e karşı savunmasız olan her sistemi belirlemek zorlu bir görev olmaya devam ediyor. Bu zorluk, Log4j kütüphanesinin işletmeler tarafından geniş bir yelpazedeki altyapı ve uygulamalarda hem doğrudan hem de üçüncü taraf entegrasyonları aracılığıyla yaygın olarak kullanılmasından kaynaklanmaktadır.
Bu ortamda sayıları yüzlerce olan çok sayıda savunmasız yazılım başlığı bulunmaktadır. Bu yazılımlardan bazıları ne yazık ki zamanla unutulmuş ve geleneksel güvenlik açığı yönetimi çözümlerinin radarına girmiştir. Özel homebrew yazılımı bile genellikle Log4j kitaplığına güvenir ve bu da algılama sürecini daha da karmaşık hale getirir.
En önemlisi, tespit görevi yalnızca yazılımın kendisine emanet edilmemelidir. Bunun yerine, daha etkili bir yaklaşım, kütüphane dosyalarının, özellikle de lib ve jar dosyalarının üçüncü taraf çözümlerle doğrudan incelenmesini içerir. Odaktaki bu değişim, standart yazılım düzeyindeki taramalarla kolayca görülemeyen Log4Shell’i yazılımda tanımlama zorluğunu giderir.
Log4Shell ile ilgili riskleri azaltmak için son iki yılda yapılan ortak çabalara rağmen savunmalarımızda önemli boşluklar devam ediyor. Tasarım gereği güvenlik yaklaşımının uygulanmasında önemli bir rol oynamak yazılım şirketlerinin sorumluluğundadır.
Öncelikle yazılım şirketlerinin belirli komut dosyalarıyla tespit edilen tespitleri uygulayarak proaktif adımlar atması gerekiyor. PowerShell veya Python gibi dilleri kullanarak Log4j kütüphanesini kullanarak kendi yazılımlarına özel tespit mekanizmaları geliştirebilirler.
İkinci olarak, yazılım şirketlerinin zafiyet taraması sırasında kompozisyon analizi yaklaşımını benimsemesi gerekmektedir. Bu gelişmiş teknik, yazılımın kendisini ve sürümünü tanımlamanın ötesine geçmelerini sağlar. Yazılımın kullandığı kitaplıkları tespit etmeye kadar uzanır ve olası güvenlik açıklarına ilişkin kapsamlı bir görünüm sağlar. Bazı sanal makine (VM) yazılımları şu anda bu yeteneğe sahip olsa da tüm çözümler bu düzeyde analiz için donatılmamıştır.
Kütüphane Güvenlik Açıklarının Geleceği
Bu yılın Eylül ayında, WebP bitmap görüntülerini işlemek için kullanılan bir kitaplık olan libwebp’te bir güvenlik açığı (CVE-2023-4863) ortaya çıktı. Aynı olmasa da Log4Shell ile karşılaştırmalar yaptı.
Birincisi, Log4j’nin Java tabanlı uygulamalardaki rolüne benzer şekilde, libwebp, WebP formatlı görüntülerin görüntülenmesi için vazgeçilmezdir. Yaygın kullanımı riski artırıyor ve çok çeşitli yazılımları potansiyel olarak etkiliyor. İkincisi, her iki güvenlik açığı da CVSS ölçeğinde 10,0 kritik önem derecesine sahip oldu.
Log4j’nin uzaktan kod yürütülmesine izin vermesi gibi, libwebp’in kusuru da kötü niyetli olarak hazırlanmış dosyaların beklenen sınırları aşmasına izin vererek yetkisiz erişime, veri sızıntılarına ve kötü amaçlı faaliyetlere yol açıyor.
Her iki durumda da, ilk değerlendirmeler güvenlik açıklarının boyutunu küçümsemişti. Libwebp’in etkisi başlangıçta Google Chrome ile sınırlı görünüyordu ancak daha da genişledi. Benzer şekilde, Log4Shell başlangıçta web hizmetleriyle ilişkilendirildi ancak daha sonra birden fazla yazılım türüne erişimini ortaya çıkardı. Her iki güvenlik açığının da ifşa edilmesinin ardından tehdit aktörleri tarafından hızla istismar edildiği dikkat çekiyor.
Libwebp olayı ile Log4j/Log4Shell arasındaki paralellik, ortak kütüphanelerdeki güvenlik açıklarının çoğalmasında potansiyel bir eğilime işaret ediyor.
Sonuç: İleriye Giden Yol
Gelecekte Log4Shell gibi güvenlik açıklarından kurtulmak için tasarım gereği güvenlik stratejisi çok önemlidir. Yazılım satıcıları, yazılımlarında kullanılan tüm kitaplıkları düzenli olarak güncellemelidir. Yazılım tüketicileri uyanık kalmalı, internete bakan ana bilgisayarlar üzerinde düzenli güvenlik açığı taramaları yapmalı, güvenlik açıklarını düzeltmeli, düzenli sızma testleri gerçekleştirmeli ve uygun bir Web Uygulaması Güvenlik Duvarı’na (WAF) sahip olmalıdır.
Log4Shell’in keşfinin ikinci yıldönümüne yaklaştığımız şu günlerde, Log4Shell’in kalıcı varlığı, sürekli gelişen siber güvenlik ortamının çarpıcı bir hatırlatıcısı olarak hizmet ediyor. Sunduğu derslerden ders alarak yarının zorluklarına daha iyi hazırlanabiliriz ve dijital ortamlarımızı bir sonraki Log4Shell’e karşı güvence altına alabiliriz.
Reklam