Yeni çıkan Uzaktan Komut Çalıştırma (RCE) zafiyetine karşı Apache Log4j 2.17.1

Son günlerde adına sıkça rastladığımız Log4j, geliştiriciler, Google, Steam, Apple, Minecraft gibi şirketler ve hatta NASA’nın Mars gezicilerinden birinde kullanılan, Java’da oldukça popüler bir log kaydı paketi. 9 Aralık’ta, log4j’de son yıllardaki en kritik zero-day açığı keşfedildi. Belirli bir payload’un loglara alınması ile gerçekleşebilen yetkisiz ve zero-click uzaktan komut çalıştırma zafiyeti CVE-2021-44228 kodu ile kayda alınmıştı.

CVE-2021-44228 siber güvenlik camiasında büyük yankı uyandırdı. Bu zafiyetin ardından Log4j ve diğer log paketlerinde hızla farklı güvenlik açıkları ve bypass yöntemleri ortaya çıkartıldı ve yayınlandı.

28 Aralık tarihinde Yaniv Nizry tarafından ortaya çıkartılan, CVE-2021-44832 koduyla izlenen ve rastgele komut çalıştırmaya neden olan zafiyeti gidermek için ise Apache Software Foundation bugün Log4j 2.17.1 sürümünü yayınladı.

CVE-2021-44832, son haftalarda Log4j ile ilgili keşfedilen beşinci güvenlik açığı. Kitaplığı etkileyen önceki zafiyetler gibi, bu zafiyet de etkilenen sistemlerde zararlı komut çalıştırmak için kullanılabiliyor.

Konuyla ilgili yayınlanan bilgilendirme metninde “Apache Log4j2 2.0-beta7’den 2.17.0’a kadar olan sürümler (güvenlik düzeltme sürümleri 2.3.2 ve 2.12.4 hariç), log yapılandırma dosyasını (logging configuration file) değiştirme iznine sahip bir saldırganın uzaktan komut çalıştırma (RCE) saldırısına karşı savunmasızdır. Bu sorun, JNDI veri kaynağı adlarının Log4j2 2.17.1, 2.12.4 ve 2.3.2 sürümlerinde java protokolüyle sınırlandırılmasıyla giderilmiştir.” denildi. Daha detaylı bilgi için https://nvd.nist.gov/vuln/detail/CVE-2021-44832#vulnCurrentDescriptionTitle ve https://www.openwall.com/lists/oss-security/2021/12/28/1 linkleri incelenebilir.

6.6 bir CVSS skoru ile kritiklik seviyesi “Orta” olarak belirlenen bu yeni zafiyet, 2.0-alpha7’den 2.17.0’a kadar tüm log4j sürümlerini etkiliyor. 2.3.2 ve 2.12.4 sürümlerinin ise etkilenmediği belirtildi.

Zafiyet , 27 Aralık’ta Apache’ye bildiren Checkmarx güvenlik araştırmacısı Yaniv Nizry tarafından keşfedildi.

Nizry ayrıca bir blog yazısında CVE-2021-44832 kodu ile izlenen zafiyetin ayrıntılarını yayınladı, bu zafiyetin istismarının daha önce tespit edilen CVE-2021-44228’den (https://nvd.nist.gov/vuln/detail/CVE-2021-44228) daha karmaşık olduğu belirtiliyor.

İstismarın nasıl gerçekleştirilebildiğine dair detaylar https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/ linkindeki blog yazısından görülebiliyor.

Log4J kitaplığında keşfedilen önceki güvenlik açıkları ise aşağıdaki gibi:

CVE-2021-44228 (CVSS puanı: 10.0) – Log4j sürümlerini 2.0-beta9’dan 2.14.1’e etkileyen uzaktan komut çalıştırma güvenlik açığı (https://nvd.nist.gov/vuln/detail/CVE-2021-44228 )

CVE-2021-45046 (CVSS puanı: 9.0) – 2.12.2 hariç Log4j sürümlerini 2.0-beta9’dan 2.15.0’a etkileyen bir bilgi ifşası ve uzaktan komut çalıştırma güvenlik açığı (https://nvd.nist.gov/vuln/detail/CVE-2021-45046 )

CVE-2021-45105 (CVSS puanı: 7.5) – Log4j sürümlerini 2.0-beta9’dan 2.16.0’a etkileyen bir hizmet dışı bırakma (DoS) güvenlik açığı (https://nvd.nist.gov/vuln/detail/CVE-2021-45105)

CVE-2021-4104 (CVSS puanı: 8.1) – Log4j sürüm 1.2’yi etkileyen seri durumdan çıkarma (untrusted deserialization) güvenlik açığı (https://nvd.nist.gov/vuln/detail/CVE-2021-4104 )

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*