Log4j Sıfırıncı Gün Güvenlik Zafiyeti

Log4j Sıfırıncı Gün Güvenlik Zafiyeti

Birçok uygulamada yaygın olarak kullanılan java loglama kütüphanesi log4j için yeni bir sıfırıncı gün zafiyetinin keşfedildiği bildirilmiştir.

Bu sıfırıncı gün açığını istismar eden saldırganların sistemler üzerinde tam denetime izin vermektedir. CVE-2021-44228 olarak nvd veritabanında takip edilen zafiyet uzaktan kod yürütülmesine olanak tanımaktadır. Bu kritik zafiyet NIST tarafından henüz değerlendirilmekte ve CVSS skoru açıklanmamış bir zafiyet olarak görülmektedir. Bu kritik zafiyet için NIST tarafından değerlendirme yapılmış ve CVSS 3.1 skoru 10.0 olarak belirlenmiştir.

Etkilenen Sistemler

Java ile yazılmış birçok hizmet ve uygulama da dâhil olmak üzere log4j kütüphanesinin 2.0.1 ve 2.14.1 arasındaki tüm versiyonları bu zafiyetten etkilenmektedir.

IoC’ler

Log4g IoC’ler

Excel İndir

Çözüm Önerileri

Zafiyetin istismar edilmesini önlemek için Log4j sürümlerinin log4j-2.15.0-rc1'e yükseltilmesi acilen önerilmektedir.

Zafiyetin etkilerinden korunmak için; Imperva WAF, F5 WAF ve McAfee IPS için Teknik ekibimiz tarafından hazırlanan adımları takip etmeniz önerilmektedir.

Güvenlik Uyarısı	Çözüm Önerisi	ZIP
CVE-2021-44228 F5 WAF	PDF Görüntüle
CVE-2021-44228 Imperva WAF	PDF Görüntüle
CVE-2021-44228 Mcfee IPS	PDF Görüntüle	ZIP İndir

CVE / CWE

CVE-2021-44228

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://logging.apache.org/log4j/2.x/security.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://www.zdnet.com/article/security-warning-new-zero-day-in-the-log4j-java-library-is-already-being-exploited/

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.

Güvenlik Zafiyet Bildirimleri