fbpx
Back to Blog
Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?
Category: Güvenlik Açığı, Hacker, Hackleme, İş Dünyası, Java Güvenlik Açıkları, Log4j, Oltalama, Siber Güvenlik, Siber Saldırı Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , Post Date: 9 February 2022

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Java yazılım tedarik zincirlerinde Log4j hatasına karşı savunmasız olan birçok yazılım mevcut. Buna karşılık yöneticiler ve güvenlik uzmanları nereye bakmaları gerektiğini bile bilmiyorlar. Geliştiricilere sunulan en önemli Java paketi koleksiyonu olan Maven’in yaklaşık 17.000 Java paketi Log4j’ye karşı savunmasız. Google Security’ye göre, ekosistemde bu sorunu çözmek muhtemelen “yıllar” alacak. Bakalım Java güvenlik açıkları siber güvenliğinizi nasıl etkiliyor?

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Siber güvenlik uzmanları Maven Central’daki 17.000’den fazla paketin 19 Aralık’tan beri savunmasız olduğunu belirledi. Bu, tüm deponun yaklaşık yüzde 4’ünü oluşturuyor. Ve bu sayı CVE güncellemesinden sonra belirlendi. CVE güncellemesiyle Log4j çekirdeğinden etkilenen ve savunmasız Log4j API vakaları ortadan kaldırılmıştı. Yani bu paketlerin yüzde 25’inde yalnızca güncellenmiş sürümler bulunuyor.

Buna karşılık, Google uzmanları Salı günü bir blog yazısı yayınladı. Ortalama hata oranının yüzde 2 ile yüzde 0,1 arasında olduğunu açıkladılar. Maven Central’ı destekleyen bir kuruluş olan Sonatype’ın raporuna göre, indirilen paketlerin yüzde 40’ından fazlası hala savunmasız. Ve yaklaşık 5 milyon indirme vardı. Kuruluşun en son Log4j güncellemeleriyle günde birkaç kez güncellenen bir panosu yayınladı ve bu sayılar Aralık ayına ait. Yayınlanan sayılar uygulamaları ve projeleri Log4j saldırılarına açık bırakan yeni indirmeleri de kapsıyor.

Java Güvenlik Açıkları Nelere Sebep Oluyor?

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Güvenlik açığı tedarik zincirinin en derin noktasından başlıyor. Log4j, hem doğrudan hem de dolaylı olarak yanlış kodlara bağımlı. Etkilenen yazılımların çoğu dolaylı olarak Java’ya bağımlı. Daha açık olmak gerekirse, kendi bağımlılıklarına olan bağımlılıkları sebebiyle savunmasız hale geliyorlar. Bu da Log4j’nin bir yazılıma bağlı olmadığı, yalnızca bir araç olarak kullanıldığı anlamına geliyor.

Log4j’nin bu sürümünün genellikle yazılım tedarik zincirinde ne kadar uzakta olduğunu belirlemek oldukça zor. Analistler bu yüzden siber saldırıyı tanımlamanın daha da zorlaştığını eklediler. Paketlerin yüzde 80’inden fazlası için güvenlik açığı birden fazla seviyede etkili. Paketlerin çoğunda beş seviyeden daha az seviye kullanılıyor ve bazılarında ise bu sayı dokuz seviyeden daha düşük. Bu paketlerin en derin bağımlılıklardan başlayarak düzeltilmeleri gerekiyor.

Google’a göre Java, “hafif” sürümünün gereksinimleri nedeniyle diğer ekosistemlerden daha karmaşık. Bu da Log4j’nin yarattığı güvenlik açıklarını tespit etmeyi daha da karmaşıklaştırıyor. Yamanın dağıtılması, bağımlılık gereksinimlerini yamalı sürüme güncellemek için genellikle açık bakım eylemleri gerektiriyor. Bu uygulama, geliştiricilerin genellikle açık bağımlılık gereksinimleri belirttiği NPM gibi diğer ekosistemlerden farklı.

Java Güvenlik Açıklarının Yarattığı Sorunları Nasıl Çözebiliriz?

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Java Güvenlik Açıkları Siber Güvenliğinizi Nasıl Etkiliyor?

Google, açık kaynak geliştiricilerinin ve güvenlik hizmetlerinin bu benzersiz sorunlara karşı sistemleri düzeltmek için şimdiden inanılmaz çabalar sarf ettiğini bildiriyor. Ancak Log4j’nin sonsuza kadar etkisiz hale gelmesi için hala yapılacak tonlarca iş var. Google, yardımcı olmak için en sık kullanılan 500 Java kod paketinin bir listesini derledi. Maven paketleriyle ilgili açıklanan tüm kritik görüşleri gözden geçirdiler. Bu şekilde, diğer güvenlik açıklarının ne kadar hızlı çözülebileceğine dair bir fikir edinmeyi amaçlıyorlar. Güvenlik açığının sebep olduğu sorunların neredeyse yarısından azı tespit edilebildi. Bu yüzden sorunu kökten çözebilmek için uzunca bir süre, belki de yıllarca beklememiz gerekebilir.

Bu güvenlik açıklarından tamamen korunmak için gelişmiş siber güvenlik araçlarımıza göz atabilirsiniz. Siber güvenlik yolculuğunuza başlamanıza yardımcı olabilecek birçok farklı oltalama önleme ve siber güvenlik aracını sizlere sunuyoruz!

Share this post

Back to Blog