Apache Log4j Java tabanlı logging library’de zero-day zafiyeti testip edildi. Zafiyeti daha kritik hale getiren ise PoC istismar kodunun yayınlanmış olması. Log4j , Apache Foundation tarafından geliştirilmiştir ve hem kurumsal uygulamalar hem de bulut hizmetleri tarafından yaygın olarak kullanılmakta. Kurumsal yazılımlardan web uygulamalarına ayrıca Apple, Amazon, Cloudflare, Twitter ve Steam gibi şirketlerin istismara açık durumda olduğu düşünülüyor.
Güvenlik şirketiLunasec, CVE-2021-44228 RCE açıklarını kullanan saldırıların ciddiyetinin altını çizdi. Lunasec, “Pek çok hizmet bu istismara karşı savunmasız. Steam, Apple iCloud gibi bulut hizmetleri ve Minecraft gibi uygulamaların savunmasız olduğu ortaya çıktı” dedi. Ayrıca yapılan açıklamada “Apache Struts kullanan herkes muhtemelen savunmasızdır. Daha önce 2017 Equifax veri ihlali gibi ihlallerde benzer güvenlik açıklarından yararlanıldığını gördük.” dedi.
Saldırganlar Dünya genelinde taramalara başladı!
CVE-2021-44228 olarak izlenen zafiyet, Log4Shell veya LogJam olarak adlandırılıyor ve Log4j 2.0-beta9’dan 2.14.1’e kadar olan sistemlerin tamamının ele geçilmesine izin veriyor.
GitHub’da PoC yayınlanmasından sonra saldırganlar, istismar edilebilir güvenlik açığına karşı savunmasız sistemler için internetten tarama başlattı.
Yama ve mitigate yöntemleri açıklandı
- Apache, maksimum önem derecesine sahip CVE-2021-44228 RCE güvenlik açığını gidermek için Log4j 2.15.0’ı yayımladı.
- Zafiyet, 2.10 ve üstü sürümlerde “log4j2.formatMsgNoLookps” sistem özelliğini “true” olarak ayarlayarak veya JndiLookup sınıfını sınıf yolundan kaldırarak da azaltılabilir.
Kaynak: bleepingcomputer.com