Merhaba, bu yazımda sizlere özellikle son dönemde tüm bilişim şirketlerinin başına bela olan Log4j nedir? Özellikleri ve alınması gereken önlemler konusundan bahsedeceğim. Öncelikle Log4j’nin bir kayıt tutma uygulaması olduğunu söyleyelim. Ancak son yıllarda keşfedilen açıkların en tehlikelisi olduğunu da belirtelim.
Ortalık son zamanlarda sakinleşmiş görünse de aslında gizliden gizliye hacklenmiş olduğunu kimse bilmiyordu. 2021 yılının son aylarında Log4j içerisinde kimsenin fark edemediği bir açık keşfedildi. İlk olarak 24 Kasım 2021 tarihinde Çinli bulut hizmet sunucusu olan Alibaba tarafından Log4j üreticisi Apache Software Foundation şirketine bildirilmişti. Yaklaşık iki hafta sonrasında Alibaba kamuya açıklama yaparak açığının ismine Log4Shell denildi.
Log4j Neden Tehlikeli?
Log4j’nin bu kadar tehlikeli oluşundaki sebep, uygulamanın neredeyse her yerde kullanılıyor olmasıdır. Yazılım Java programlama dilinde geliştirilmiş. Ve Microsoft, Google ve Amazon gibi şirketlerin bulut bilgi veri merkezlerinde de kullanılmaktadır. Bu servisler üzerinde sayısız uygulama bulunuyor. Elbette Dünya’nın her yerinden bu servislere erişen şirket ve kullanıcılar bulunuyor. Bu tip büyük veri merkezleri de günümüzün omurgasını oluşturmaktadır.
Log4j sayısız programında içerisinde entegre edilmiş bir şekildedir. Çok basit bir örnek verecek olursak, Minecraft oyunu bile bu açıktan nasibini almıştır. Saldırganlar bu açığı kullanarak diledikleri bilgisayarları ele geçirebilmektedir. Bunun için çok çok teknik çalışmaya da gerek bulunmuyor. Log4j, yalnızca bilgisayarlarda bulunmuyor. İnternete bağlanan web kameraları ya da akıllı televizyonlarda bile bulunmaktadır. Tam olarak nerelere kadar uzandığını kimse bilmiyor. Log4Shell ile mücadele etmek te zor bir hale geliyor.
Log4Shell Almanya’da Federal Bilgi Güvenliği Bakanlığı yani BSI tarafından kırmızı alarm olarak yayınlanmıştı. IT dünyasında da üst düzey kritik olarak bilinmektedir. Ayrıca bilgisayarlardaki açıkları değerlendiren bir sistem olan CVSS üzerinde 10 puan ile değerlendirilmiş. 10 puan erişilecek en yüksek düzey anlamına gelmektedir.
Log4j Özellikleri
Bildiğiniz gibi birçok uygulama aktiviteleri kayıt altına alarak çalışmaktadır. Programcılar ise bu kayıt bileşenlerini kendileri yazmıyorlar. Harici bileşenler kullanarak kayıt tutuyorlar. Bu bileşenler sayesinde istediklerini tam olarak yapabilmektedir. Böylece hem programcı kazanmış oluyor hem de maliyet oldukça düşüyor. 2021 yılının Kasım ayından beri bilinen Log4j, işte bu harici bileşenlerin entegre edilmesi sonucu ortaya çıkıyor. Riskler beraberinde geliyor.
Log4j uygulamasını geliştiren ekip, harici kodların indirilerek çalıştırılabilir olduğunu farkına varmamışlar. Dolayısıyla internet üzerinden kötüye kullanıma oldukça açık bir durum. Hacker’lar program kodlarına ulaşarak gizli bilgileri ele geçirebiliyorlar. Buna bir örnek olarak; Minecraft oyunu içerisinde başka bir kullanıcıya sohbet mesajı atarken içine kod gizlenip karşıdaki bilgisayara ya da sunucuya sızmak mümkün hale gelebiliyor. Aşağıdaki linkten Microsoft tarafından yayınlanan makaleye bakabilirsiniz.
Guidance for preventing (Microsoft)
Log4Shell isimli bu açığın yerel ağlar üzerinde de yayılmakta olduğu tahmin edilmektedir. Bu açığın fidye yazılımında da kullanılabileceği BSI tarafından öngörülmektedir. Merkezi bir yerden kontrol edilebilen yüzbinlerce bot ağının, sistemleri avlamak için çalıştıkları da söylenmektedir.
Log4j Önlemleri
Birçok yazılım üreticisi Log4Shell açığına karşı yamalar ve güncellemeler yayınlamaya başladı. Bu yama ya da güncellemelerin acil kritik seviyesinde hızlıca sistemlere geçilmesi gerekmektedir. Şu anda büyük bir patlama bulunmamakla birlikte, durumun kontrol altına alınabileceği söylenmektedir. Açığın ilk olarak fark edilmiş olduğu Kasım 2021 tarihinde verilen kırmızı alarm, şu sıralarda sarı alarm seviyelerine indirilmiştir. Kritik sistemler üzerinde mutlaka açıktan etkilenenlerin temizlenmesi gerekmektedir. Açıktan etkilenmeyenlerin de kontrol altına alınması çok önemlidir.
İçlerinde Rockwell, Schneider Electric ve Siemens gibi üreticilerin bulunduğu birçok vendor, kendi ürünleri ile ilgili alınması gereken önlemleri duyurdu ve buna göre hareket etmektedir. Bunların yanında açığın, yalnızca internet üzerinden erişilen uygulamalarda değil, bazı iç sistemlerde de bulunduğu bilinmektedir.
Son olarak şunu söyleyelim. Şu anda Log4j’nin siber saldırganlar tarafından kullanılıp kullanılmadığı, ne kadar başarı sağladıkları gibi bilgiler bilinmemektedir. Ancak şu da bir muamma. Belki de sistemlere çoktan sızdılar. Ortamın biraz da yumuşamasını bekliyor ve sonrasında darbelerini vurabilirler.
Bu yazımda sizlere özellikle son dönemde tüm bilişim şirketlerinin başına bela olan Log4j nedir? Özellikleri ve alınması gereken önlemler konusundan bahsetmeye çalıştım. Faydalı olması dileğiyle.