BT altyapılarında yaygın olarak kullanılan Log4j, Java tabanlı bir günlük kaydı aracı olarak tanımlanabilir. Ağ içindeki tüm kullanıcı hareketlerinin kaydedilmesini sağlayan Log4j, bir sıfır gün saldırısına evrilerek belirli güvenlik açıklarını da beraberinde getirdi. BT ekibi üyelerinin uygulamalarda ve sunucularda olup biten her şeyi kaydetmesine imkân tanıyan Log4j kütüphanesi, gerekli önlemler alınmadığı takdirde hacker’lar için uygun bir siber saldırı zemini oluşturabilir.
Bu açık türünde Log4j günlüğünün sahip olduğu bazı özellikler siber saldırganların uzaktan kod yürütmesine zemin hazırlıyor. Bir siber saldırgan sizin ağınız üzerinde uzaktan kod yürütebildiği zaman ise ağa bağlı tüm cihazlara ve sunuculara erişim şansı elde ediyor. Böylece ağınızdaki kritik veri yığınlarına erişerek güvenlik açığı yaratabiliyor.
Nitekim Log4j kütüphanesine erişim bir dizi veri ihlaline de sebep olabiliyor. Örneğin, ağınıza erişebilen bir bilgisayar korsanı verilerinizi silme, şifreleme ya da fidye talebi için muhafaza etme ayrıcalığına ulaşıyor. Bu ayrıcalık elbette siber güvenlik protokolleri ihlal edildiği için kuruluşunuz açısından hem ciddi maddi kayıplara neden olabiliyor hem de kurumsal imajınızı zedeleyebiliyor.
Bu yazımızda dünyayı kasıp kavurarak şu sıralar pek çok kurumu etkileyen Log4j günlük kaydı aracından kaynaklanan veri ihlali vakalarını önleme yöntemlerini detaylı şekilde incelemek için önce Log4j kütüphanesinin hangi amaçlarla kullanıldığını, çalışma şeklini ve güvenlik açığı yaratma potansiyelini ele alacağız, daha sonra ise Log4j günlüğünün yaratabileceği güvenlik açıklarından korunmanın yollarına değineceğiz.
Genel olarak tanımlamak istersek Log4j, Java ile yazılmış birkaç Java günlükleme framework’ünden biri olan bir günlük kaydı yardımcı programıdır.
Bugünlerde sıkça konuşulan açığa neden olan Log4j sürümü ise Log4j'nin önceki sürümü olan Log4j 1.x'e göre büyük değişiklikler getirmiş bir güncelleme olan Log4j 2'dir. Logback'in mimarisindeki bazı sorunları ortan kaldıran bu versiyon, beraberinde dünya geneline yayılan bir açığı da ortaya çıkarmış durumda.
İsteğe bağlı loglama yapma kapasitesi sayesinde birçok farklı Java uygulamasında aktif olarak kullanılan Log4j, Java tabanlı bir kütüphane durumda ve dünyadaki milyonlarca Java kullanıcısı tarafından kullanıldığı için beklenmedik anlarda karşımıza çıkabiliyor.
Java günlük sistemlerinde yer alan Log4j, yetkisiz erişime zemin hazırlayan yapısı nedeniyle erişim güvenliği ile ilgili çeşitli hususların ihlal edilmesine yol açabiliyor. Log4j, Java üzerine kurulu çevrim içi ağınızı farklı siber saldırı türlerine açık hâle getiriyor. Bunun sonucunda ise BT altyapınızdaki yetkili hesap erişim güvenliği rahatça ihlal edilebilir duruma geliyor.
Log4j’deki güvenlik açığı siber saldırganların uzaktan kod yürütebilmesine imkân tanıyor. Siber saldırganlar açıkta kalan sunucular üzerinden kuruluşunuza ve çalışanlarınıza ait verileri rahatça ele geçirirken BT altyapınızdaki cihazlara da kötü amaçlı yazılımlar yükleyebiliyor. Apache, Log4j güvenlik açığını yayınladığı son patch ile düzeltmeye çalışsa da söz konusu Java kütüphanesini kullanmayı tercih eden kuruluşlar açısından bilgi güvenliği riski devam ediyor.
Kuruluşlar için yeterince iyi korunmayan bir BT altyapısında Log4j günlüğünü kullanmak hem hassas verilerin çalınması hem de sunucuların ve cihazların çalışamaz hâle gelme ihtimali göz önüne alındığında büyük riskler içeriyor. Log4j’nin kuruluşlara verebileceği zararı daha iyi anlamak için ise ilgili kütüphanenin çalışma prensibine ve etkilediği ortamlara detaylı şekilde bakmakta yarar var.
Log4j işlemcisinin BT altyapınızda güvenlik açığı yaratmasının temelinde mesajları işleme şekli yatıyor. Bir başka deyişle Log4j kayıt aracının günlük kayıtlarını tutma yöntemi ağınızda yetkili erişimler ile ilgili oluşabilecek veri güvenliği ihlallerinin temel nedenini yaratıyor. Log4j kütüphanesinin çalışma şekli dışarıdan müdahaleye açık olduğu için siber saldırganlar kötü amaçlı kod içeren bir mesaj göndererek kodları uzaktan çalıştırma şansına sahip.
Bilgisayar korsanlarının Log4j aracılığıyla sunucularınıza eklediği bu kod, harici bir kod sınıfının ya da özel mesaj aramasının yüklenmesine neden oluyor. Bu sayede siber saldırganlar ağınızda kolayca kod yürütebiliyor.
Dikkat etmeniz gereken bir başka nokta ise BT altyapınızda internete bağlı herhangi bir cihaz var ve Log4j kütüphanesinin 2.0 ilâ 2.14.1 arasındaki sürümlerini çalıştırıyorsa çok yüksek olasılıkla risk altında demektir. Ayrıca Log4j günlük kaydı aracı ile entegre IoT (Internet of Things) cihazlarının erişim güvenliğinin de tehdit altında olduğunu belirtmekte yarar var.
Tüm bunların yanı sıra AWS, IBM ve Oracle da yaptıkları açıklamalarla Log4j güvenlik açığının BT altyapılarında sorun yarattığını ifade etti. AWS, patch uygulamaya çalıştığını ve hafifletici önlemlere yöneldiğini söylerken IBM Log4j zafiyetine karşı yanıt verdiğini ifade ederken WebSphere 8.5 ve 9.0’da güvenlik açığı meydana geldiğini doğruladı. Oracle ise bir açıklama yayımlayarak müşterilerine güvenlik uyarısı olarak iletilen yeni güncellemelerin en kısa sürede yapılmasını tavsiye etti.
Log4j güvenlik açığından korunmak için patch yapmak ve oluşacak yeni yamaları takip etmek atılacak adımlardan ilki olarak karşımıza çıkıyor.
Günlük kaydı aracını 2.15.0 ve üzeri sürümlerden birine yükselterek ağınızı güvenlik açığına karşı koruyabilirsiniz. Şayet herhangi bir nedenle güncelleme yapamıyorsanız Log4j 2.0 ve üzeri kullanıcıları ekleyebilir, Log4j 2.7’den bu yana geçerli olan ve PatternLayout konfigürasyonuna dahil edilerek günlük olay mesajlarında arama yapmayı engelleyen %m {nolookups} komutunu kullanabilirsiniz.
Son olarak Log4j-core jar'dan JndiLookup ve JndiManager sınıflarını kaldırarak da Log4j güncelleme sorununun önüne geçebilirsiniz. Log4j güvenlik açığını önlemek için patch ve güncellemeleri baz alan temel yöntemler bunlar.
Apache tarafından şu ana kadar yayımlanan yamalar güvenlik açığını önleme konusunda kısmen çözüm olsa da BT altyapınızda kapsamlı bir güvenlik politikasına sahip olmak en iyi yöntem olarak dikkat çekiyor. Bu aşamada şirket içerisindeki erişim güvenliği protokollerinin düzenlemelere uygun şekilde uygulanıp uygulanmadığını denetlemenizde fayda var. Eğer erişim ve veri güvenliği açısından herhangi bir çalışmanız olmadıysa BT altyapınızı Log4j zafiyetine ve muhtemel veri ihlallerine karşı daha etkin biçimde korumak için Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) çözümlerinden yararlanabilirsiniz.
Siber saldırganların yetkili hesaplar üzerinden yaratabileceği veri ihlallerini engelleyen PAM uygulamaları, ayrıcalıklı hesaplara ait bilgilerin ele geçirilmesini kolaylaştıran bu güvenlik açığını önlemek konusunda da önemli rol oynayabilir. Ayrıcalıklı Erişim Yönetimi sistemleri bünyesinde barındırdığı çözümler sayesinde yetkili erişimi rahatlıkla denetleyebilir ve BT altyapınız üzerinde tam kontrol sahibi olmanızı sağlayabilir.
Örneğin Yetkili Oturum Yöneticisi (PSM) ürünü merkezi bir çözüm sunarak ağınızdaki tüm oturumları denetim altında tutmanıza imkân tanıyor. Merkezi Parola Yöneticisi (Dynamic Password Controller) gibi parola yönetimi çözümleri ise ağdaki kullanıcılara ait şifreleri ağdan izole şekilde muhafaza ediyor. Şifre kasası özelliği de barındıran bu çözüm, yetkili oturumların geleneksel parolalar yerine geçici ve güçlü parolalar kullanabilmelerini imkân tanıyor. Söz konusu çözüm tamamı şifrelenmiş bir BT altyapısı yaratıyor.
İki Faktörlü Kimlik Doğrulama (Two-Factor Authentication – 2FA) kuruluşunuzun sistemine erişmek isteyen tüm kullanıcılardan eş zamanlı olarak zaman ve konum doğrulaması talep ediyor. Bunlara ek olarak Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme modülü de ağda gerçekleştirilen tüm işlemleri kaydediyor ve yapılan erişimler ile verileri dinamik olarak maskeliyor. Bu çözüm ağ üzerinde tam denetime sahip olmanızı kolaylaştırıyor.
Ayrıcalık Erişim Yönetimi uygulamalarının çözümleri Log4j güvenlik açığını önleyerek kuruluşunuza ait kritik verileri koruma altına alıyor. PAM, BT altyapınızı 7/24 kontrol etmenizi mümkün kılıyor.
Siz de kuruluşunuzun BT altyapısını ayrıcalıklı erişim güvenliği ve yetkili hesaplar açısından güvenli hâle getirmek istiyorsanız Kron olarak geliştirdiğimiz Single Connect ürünümüzü kullanabilirsiniz.
Gartner Magic Quadrant for PAM ve Omdia Universe 2021–22 raporlarında yer alarak dünyanın önde gelen PAM çözümlerinden biri olduğunu kanıtlayan Single Connect, şirketlerin veri ve erişim güvenliği seviyelerini arttırarak siber tehditleri etkili şekilde engelleyebiliyor.
Siz de Single Connect hakkında daha detaylı bilgi edinmek isterseniz bizimle iletişime geçebilir ve uzman ekip arkadaşlarımızdan PAM ürünümüzün tüm detaylarını öğrenebilirsiniz.