{"id":477869,"date":"2023-08-09T09:21:36","date_gmt":"2023-08-09T09:21:36","guid":{"rendered":""},"modified":"2023-09-05T11:15:35","modified_gmt":"2023-09-05T11:15:35","slug":"log4shell","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/tr\/wiki\/log4shell\/","title":{"rendered":"Log4Shell"},"content":{"rendered":"

Log4Shell, 2021'in sonlar\u0131nda ortaya \u00e7\u0131kan ve siber g\u00fcvenlik ortam\u0131n\u0131 sarsan kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Yayg\u0131n olarak kullan\u0131lan g\u00fcnl\u00fck kitapl\u0131\u011f\u0131 Apache Log4j'deki bir kusurdan yararlan\u0131yor ve sald\u0131rganlar\u0131n savunmas\u0131z sistemlerde uzaktan kod \u00e7al\u0131\u015ft\u0131rmas\u0131na olanak tan\u0131yor. Bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n ciddiyeti, ona m\u00fcmk\u00fcn olan en y\u00fcksek puan olan "10,0" CVSS (Ortak G\u00fcvenlik A\u00e7\u0131\u011f\u0131 Puanlama Sistemi) notu kazand\u0131rd\u0131; bu, yayg\u0131n ve y\u0131k\u0131c\u0131 hasara neden olma potansiyeline i\u015faret ediyordu.<\/p>\n

Log4Shell'in k\u00f6keninin tarihi ve ilk s\u00f6z\u00fc.<\/h2>\n

Log4Shell'in k\u00f6keni, \u00e7e\u015fitli Java tabanl\u0131 uygulamalarda kullan\u0131lan pop\u00fcler bir a\u00e7\u0131k kaynakl\u0131 g\u00fcnl\u00fck kayd\u0131 \u00e7er\u00e7evesi olan Apache Log4j'nin olu\u015fturulmas\u0131na kadar uzan\u0131r. 2021'in sonlar\u0131nda g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 Log4j'de, sald\u0131rganlar\u0131n kay\u0131t mekanizmas\u0131 arac\u0131l\u0131\u011f\u0131yla sisteme k\u00f6t\u00fc ama\u00e7l\u0131 kod eklemesine olanak tan\u0131yan kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ke\u015ffetti. Log4Shell'den ilk kez kamuya a\u00e7\u0131k olarak bahsedilmesi, Carnegie Mellon \u00dcniversitesi'ndeki CERT Koordinasyon Merkezi'nin 9 Aral\u0131k 2021'de bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 notu (CVE-2021-44228) yay\u0131nlamas\u0131yla ger\u00e7ekle\u015fti.<\/p>\n

Log4Shell hakk\u0131nda detayl\u0131 bilgi. Log4Shell konusunu geni\u015fletiyoruz.<\/h2>\n

Log4Shell'in etkisi Apache Log4j'nin \u00e7ok \u00f6tesine ge\u00e7ti; \u00e7ok say\u0131da uygulama ve \u00fcr\u00fcn bu kitapl\u0131\u011f\u0131 entegre ederek onlar\u0131 bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131na a\u00e7\u0131k hale getirdi. Kusur, Log4j'nin, \u00f6zellikle ortam de\u011fi\u015fkenlerine referans vermek i\u00e7in "arama" \u00f6zelli\u011fini kullan\u0131rken, kullan\u0131c\u0131 taraf\u0131ndan sa\u011flanan verileri i\u00e7eren g\u00fcnl\u00fck mesajlar\u0131n\u0131 i\u015fleme bi\u00e7iminde yatmaktad\u0131r.<\/p>\n

K\u00f6t\u00fc niyetli bir akt\u00f6r, manip\u00fcle edilmi\u015f bir aramayla \u00f6zel haz\u0131rlanm\u0131\u015f bir g\u00fcnl\u00fck mesaj\u0131 olu\u015fturdu\u011funda, uzaktan kod y\u00fcr\u00fct\u00fclmesini tetikler. Sald\u0131rganlar yetkisiz eri\u015fim elde etmek, hassas verileri \u00e7almak, hizmetleri kesintiye u\u011fratmak ve hatta hedeflenen sistemler \u00fczerinde tam kontrol\u00fc ele ge\u00e7irmek i\u00e7in Log4Shell'den yararlanabilece\u011finden bu durum \u00f6nemli bir tehdit olu\u015fturmaktad\u0131r.<\/p>\n

Log4Shell'in i\u00e7 yap\u0131s\u0131. Log4Shell nas\u0131l \u00e7al\u0131\u015f\u0131r?<\/h2>\n

Log4Shell, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulunan uygulamay\u0131 ortam de\u011fi\u015fkenleri i\u00e7in arama kayna\u011f\u0131 olarak atayarak Log4j "arama" mekanizmas\u0131ndan yararlan\u0131r. Uygulama, k\u00f6t\u00fc ama\u00e7l\u0131 g\u00fcnl\u00fck iletisini ald\u0131\u011f\u0131nda, fark\u0131nda olmadan sald\u0131rgan\u0131n kodunu \u00e7al\u0131\u015ft\u0131rarak, ba\u015fvurulan ortam de\u011fi\u015fkenlerini ayr\u0131\u015ft\u0131r\u0131r ve \u00e7\u00f6zmeye \u00e7al\u0131\u015f\u0131r.<\/p>\n

Log4Shell s\u00fcrecini g\u00f6rselle\u015ftirmek i\u00e7in a\u015fa\u011f\u0131daki s\u0131ray\u0131 g\u00f6z \u00f6n\u00fcnde bulundurun:<\/p>\n

    \n
  1. Sald\u0131rgan, manip\u00fcle edilmi\u015f aramalar i\u00e7eren k\u00f6t\u00fc ama\u00e7l\u0131 bir g\u00fcnl\u00fck mesaj\u0131 olu\u015fturur.<\/li>\n
  2. G\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulunan uygulama, Log4j'yi kullanarak mesaj\u0131 g\u00fcnl\u00fc\u011fe kaydediyor ve arama mekanizmas\u0131n\u0131 tetikliyor.<\/li>\n
  3. Log4j, sald\u0131rgan\u0131n kodunu \u00e7al\u0131\u015ft\u0131rarak aramay\u0131 \u00e7\u00f6zmeye \u00e7al\u0131\u015f\u0131r.<\/li>\n
  4. Uzaktan kod y\u00fcr\u00fctme ger\u00e7ekle\u015fir ve sald\u0131rgana yetkisiz eri\u015fim sa\u011flan\u0131r.<\/li>\n<\/ol>\n

    Log4Shell'in temel \u00f6zelliklerinin analizi.<\/h2>\n

    Log4Shell'i son derece tehlikeli bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 haline getiren temel \u00f6zellikler \u015funlard\u0131r:<\/p>\n

      \n
    1. Y\u00fcksek CVSS Puan\u0131<\/strong>: Log4Shell, kritikli\u011fini ve yayg\u0131n hasar potansiyelini vurgulayan 10,0 CVSS puan\u0131 ald\u0131.<\/li>\n
    2. Yayg\u0131n Etki<\/strong>: Apache Log4j'nin pop\u00fclaritesi nedeniyle d\u00fcnya genelinde web sunucular\u0131, kurumsal uygulamalar, bulut hizmetleri ve daha fazlas\u0131 dahil olmak \u00fczere milyonlarca sistem savunmas\u0131z hale geldi.<\/li>\n
    3. H\u0131zl\u0131 S\u00f6m\u00fcr\u00fc<\/strong>: Siber su\u00e7lular bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131ndan yararlanmaya h\u0131zla adapte oldular, bu da kurulu\u015flar\u0131n sistemlerine derhal yama yapmas\u0131n\u0131 acil bir mesele haline getirdi.<\/li>\n
    4. \u00c7apraz Platform<\/strong>: Log4j \u00e7apraz platformdur; bu, g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n Windows, Linux ve macOS dahil olmak \u00fczere \u00e7e\u015fitli i\u015fletim sistemlerini etkiledi\u011fi anlam\u0131na gelir.<\/li>\n
    5. Gecikmeli Yama<\/strong>: Baz\u0131 kurulu\u015flar, sistemlerini uzun s\u00fcre a\u00e7\u0131kta b\u0131rakarak yamalar\u0131 hemen uygulama konusunda zorluklarla kar\u015f\u0131la\u015ft\u0131.<\/li>\n<\/ol>\n

      Log4Shell T\u00fcrleri<\/h2>\n

      Log4Shell, etkiledi\u011fi uygulama ve sistem t\u00fcrlerine g\u00f6re kategorize edilebilir. Ana t\u00fcrler \u015funlar\u0131 i\u00e7erir:<\/p>\n\n\n\n\n\n\n\n\n
      Tip<\/th>\nTan\u0131m<\/th>\n<\/tr>\n<\/thead>\n
      Web Sunucular\u0131<\/td>\nUzaktan kod y\u00fcr\u00fct\u00fclmesine izin veren, internete a\u00e7\u0131k olan savunmas\u0131z web sunucular\u0131.<\/td>\n<\/tr>\n
      Kurumsal Uygulamalar<\/td>\nLog4j kullanan ve istismara a\u00e7\u0131k Java tabanl\u0131 kurumsal uygulamalar.<\/td>\n<\/tr>\n
      Bulut Hizmetleri<\/td>\nJava uygulamalar\u0131n\u0131 Log4j ile \u00e7al\u0131\u015ft\u0131ran bulut platformlar\u0131 onlar\u0131 risk alt\u0131na sokuyor.<\/td>\n<\/tr>\n
      IoT Cihazlar\u0131<\/td>\nLog4j'yi kullanan Nesnelerin \u0130nterneti (IoT) cihazlar\u0131, potansiyel olarak uzaktan sald\u0131r\u0131lara yol a\u00e7abilir.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      Log4Shell'i kullanma yollar\u0131, kullan\u0131ma ba\u011fl\u0131 sorunlar ve \u00e7\u00f6z\u00fcmleri.<\/h2>\n

      Log4Shell'i kullanma yollar\u0131:<\/strong><\/p>\n