Etki: Sistem üzerinde rastgele bir kod çalıştırmaya imkan veren zafiyetler uzaktan kod yürütme zafiyeti olarak bilinir.
Hedefler: Java çalıştıran ve ayrıca log4j çerçevesini kullanarak her şeyi loglayarak kaydeden sunucular ve istemciler – sunucular, savunmasız herhangi bir uç nokta bir hedef veya bir pivot noktası da bu zafiyetten etkilenebilir.
Etkinebilcek Ürünler: Aksi kanıtlanana kadar, log4j'yi içeren her şeyin - Elasticsearch, Apache Struts / Solr / Druid / Flink, vb. uygulamalarında bu zafiyetten etkilendiği kabul edilmekte ve etkileri görülmektedir.
Etkilenen Zafiyetli Sürümler: log4j version 2.0 - 2.17 arası sürümleri etkilenmektedir. Daha eski 1.x.x versiyonlarınında bu zafiyetten etkilenmemektedir ancak belirli konfigürasyonlarında bu zafiyet oluşabilmektedir.
Cihazlar: Java sunucu bileşenlerini kullanabilecek tüm sistemler risk altındadır.
Apache Log4j java ve apache içerisinde en yaygın olarak kullanılan log toplama çatısıdır. Bu çatıyı çok birçok java ve bağımlı uygulaması tarafından iz günlüğü toplama amaçlı kullanmaktadır. Bu frameworkte tespit edilen uzaktan kod çalıştırma zafiyeti ile saldırganlar java naming and directory interface (JNDI) bileşeni üzerinden kötü amaçlı payloadlar çalıştırabilmektedir. Java bileşeni Log4j frameworkü herhangi bir uygulamada bağımlılık olarak kullanılıyor ise zafiyeti giderilmiş olan 2.17.1 versiyonuna ivedi olarak yükseltilmesi gerekmektedir. Ayrıca aşağıda listesi verilen uygulamalarında modül olarak log4j kullandığı bilinmektedir. Bileşene sahip olduğu düşünülen uygulamalara dıştan gelen istekler IDS/IPS ve Waf üzerinden geçirilmeli ve CVE numarasına ait imzalar ilgili cihazlara tanımlanmalıdır. Bu uygulamalar içinde üreticilerinin yayınladığı ve yayınlayacağı workaroundlar ve referanslar kısmında yer alan çözüm önerileri uygulanabilir.
Güncellemeler
CVE-2021-44832 Uzaktan Kod Çalıştırma
Checkmarx güvenlik araştırmacıları tarafından keşfedilen yeni CVE numaralı uzaktan kod çalıştırma zafiyetinden 2.0 ile 2.17.0 kadar olan Apache Log4j sürümleri etkilenmektedir. 2.3.2, 2.12.4 ve 2.17.1 sürümleri zafiyetten etkilenmemektedir.
Apache Log4j sürümlerinin 2.3.2, 2.12.4 veya 2.17.1 sürümlerine yükseltilmesi önerilmektedir.
https://checkmarx.com/blog/cve-2021-44832-apache-log4j-2-17-0-arbitrary-code-execution-via-jdbcappender-datasource-element/
https://www.cyberkendra.com/2021/12/fourth-log4j-rce-vulnerability.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44832
Log4j’nin 2.16 sürümünde yeni tespit edilen DDOS zafiyetinden ötürü, log4j için Apache tarafından 2.17 sürümü yayınlanmıştır. Log4j acil olarak bu sürüme güncellenmelidir.
Zafiyetli Olduğu Bilinen Uygulamalar