İki hafta önce bilgi teknolojileri dünyası Log4Shell adı verilen bir sıfırıncı gün zafiyeti ile alarma geçti. Bu zafiyet önümüzdeki haftalarda ve aylarda en büyük siber ataklardan birisine sebep olabilir.
Zafiyet açık kaynak kod olan Log4j`de bulundu. Log4j kullanıldıkları yazılımlarda hata ve rutin sistem işlemlerini kayıt edip sistem yöneticilerine ve kullanıcılarına bildiren bir yazılım parçacığıdır.
Bilgi teknolojileri dünyası bu zafiyeti ilk kez 9 Aralık 2021`de öğrendi. Zafiyetin sebep olabileceği etki ve kolay bir şekilde istismar edilebilmesi, onun Amerikan Ulusal Zafiyet Veritabanı tarafından kritik denilen en üst seviye güvenlik derecesi ile derecelendirilmesine sebep oldu.
Bir teknoloji haber sitesi olan ZDNET`in bildirdiğine göre, zafiyetten haberdar olan siber korsanlar onu istismar etmek için derhal çok büyük sayıda saldırı gerçekleştirmeye başladılar. Microsoft`un bildirdiğine göre takip altında olan çok sayıda devlet destekli siber suç örgütü de bu zafiyeti istismar etmeye başladılar. Türkiye`den siber suçluların da içinde bulunduğu bu örgütler Çin, İran, Kuzey Kore gibi ülkelerdendi.
Zafiyet ortaya çıkar çıkmaz, Log4j`nin geliştiricisi olan Apaçhe Software Foundation, Log4j`nin kodunda bir iyileştirme yaptı ve 10 Aralık 2021`de yayınladı. Fakat, sonradan anlaşıldı ki bu iyileştirme Log4j`deki bu zafiyeti tamamen gidermedi ve 13 Aralık 2021`de Log4j`nin yeni bir yazılımını kullanıcılarına sunuldu. Bu ikinci zafiyet de Amerika Ulusal Zafiyet Veritabanı tarafından kritik olarak değerlendirildi. Bu iki güncellemeye rağmen zafiyet henüz tam olarak giderilememişti ve 16 Aralık 2021`de başka bir güncelleme yapıldı. Bu son zafiyet ilk iki zafiyet kadar ciddi olmasa da siber güvenlik dünyasında ciddi bir vulnerabilite derecesi sayılan “high” (yüksek) skoru ile derecelendirildi.
Log4j bugün birçok uygulamada, sunucuda ve internete açık cihazlarda kullanılmaktadır ve bu da bize gösteriyor ki bu zafiyetleri gidermek epey zaman alacak.
Purdue Üniversitesi`nde görevli Santiago Torres-Arias bu zafiyet giderilmesi konusundaki zorluk hakkında aşağıdaki iki temel sorunu belirtiyor.
Birincisi, Log4j`nin tek başına bir yazılım olmadığını ve bir yazılım parçası olduğunu dile getiriyor. Bu da şu demek oluyor. Bu yazılım parçasının nerede çalıştığını bulmak için sistem yöneticilerinin yazılımlarını satır satır inceleyip, yazılımlarında Log4j kullanılıp kullanılmadığını bulmalarını gerektiriyor. Neyi koruyacağınızı bilmediğiniz bir ortamda yapılan siber saldırılara cevap vermek oldukça zordur.
İkinci büyük sorun da şudur: Log4j`yi yazılımlarında kullanan şirketlerin onunla ilgili sorunları çözmesi oldukça zaman alıcıdır. Çünkü log4j tabiatı gereği yazılım tedarik zincirinin bir parçasıdır. Yani bir yazılım geliştirilirken son ürün ortaya çıkıncaya kadar birçok departmanın onayından geçmek zorundadır. Eğer, bu departmanlardan birinde yazılım hakkında bir sorun tespit edilirse hatalı yazılım bir sonraki departmana devredilmeden düzeltilir.
Fakat, Log4j o kadar farklı yazılım ürününde kullanılıyor ki bir güncelleme yapmak bile Log4j geliştiricisi, yazılım geliştiricisi ve daha birçok sayıda kişinin ürünü onaylamasını gerektirir ki bu da zafiyetin giderilmesini geciktirir hatta görmezden gelinmesine sebep olur.
Her ne kadar zaman alıcı ve zor görünüyor olsa da bizim Log4j ve onun gibi yazılımlara karşı yapmamız gereken, siber güvenliğin en önemli koruma kalkanlarından biri olan yazılım güncellemesini “eğer uygunsa” en hızlı şekilde uygulamaktır.