Log4Shell Güvenlik Açığı Şirketler Açısından Ne Anlama Geliyor?

This month saw the identification of a significant computer software exposure in an Apache/Java open-source logging tool, Log4j2. Marsh provides insight on how organisations can respond.

Geçtiğimiz haftalarda (9 -10 Aralık 2021), Apache Software Foundations’a devredilmiş ve ASF tarafından geliştirmesine devam edildiği Java tabanlı bir açık kaynak oturum açma kütüphane aracında Log4j2 adı verilen (CVE-2021-44228 olarak izlenebilir ve Log4Shell olarak adlandırılmıştır. Zafiyet kodu CVE-2021-44228 olan asıl zafiyete daha sonra bir yenisi daha eklendi: CVE-2021-45105, nispeten bir türevi ve daha farklı bir alana saldırıyor.) ciddi bir güvenlik açığı tespit edildi. Bu kütüphane, Java kullanan birçok uygulamada aktif olarak kullanılmakta ve genellikle tüm sektörlerde söz konusu Java tabanlı uygulamalar, kurumların bulutta duran sunucularında ve kurumsal sistemlerde kullanılmaktadır. İlgili zafiyete yönelik olarak herhangi bir düzeltme yapılmaması halinde, söz konusu güvenlik açığı kurum dışı tarafların kurum içi ağlara yetkisiz erişimine imkan tanıyarak veri kaybına, fidye yazılım veya başka kötü niyetli yazılımların yerleştirilmesine ve hırsızlık risklerine yol açabilir. 

Ne Oldu?

Yaygın bir şekilde kullanılan Java oturum açma kütüphanesinde bir açık – Apache Log4j – belirlendi. Doğrulanmamış uzaktan kod yürütme işlemine izin veren bu güvenlik açığının, kolaylıkla kötüye kullanılabilir olma ihtimalinin çok yüksek olduğu ve saldırganların etkilenen sunucuların tamamının kontrolünü ele geçirmesiyle sonuçlanabilecek nitelikle güçlü olduğu siber güvenlik uzmanlarınca değerlendirilmektedir. Aracın belirli versiyonlarını kullanan sistemler ve hizmetlerin dolaylı olarak bu güvenlik açığından etkilenebileceği de olasılıklar arasında gösterilebilir. 

Etkisi ne?

Yukarıda belirtildiği üzere CVE-2021-44228 ve CVE 2021-45046 olarak da bilinen güvenlik açıkları, Log4j2’nin belirli versiyonlarını etkileyebilir. İlgili zafiyete yönelik olarak herhangi bir düzeltme yapılmaması halinde, söz konusu güvenlik açığı kurum dışı tarafların kurum içi ağlara yetkisiz erişimine imkan tanıyarak veri kaybına, fidye yazılım veya başka kötü niyetli yazılımların yerleştirilmesine ve hırsızlık risklerine yol açabilir. Java kullanan uygulamaların yaygınlığı sebebiyle her türlü bilgisayarı etkileyebilecek bu açığın dünya genelinde 3 milyardan fazla sistemi etkisi altına aldığı tahmin edilmektedir. Saldırganlar, söz konusu güvenlik açığını aktif olarak araştırmakta ve kullanmanın yollarını bulmaya çalışmaktadır.

Avrupa’daki çeşitli Ulusal Siber Güvenlik Merkezleri, kuruluşların güvenlik açığını yönetmelerine yardımcı olacak faydalı kılavuzlar düzenlemiş ve hafifletici tedbirler, tarama araçları ve bilinen zafiyetler hakkında teknik ayrıntıları açıklamıştır. Örneğin: 

Şirketler bu zafiyete nasıl müdahale edebilir?

Müdahale ve hafifletici tedbirler için yukarıda belirtilen kaynakların düzenli takip edilmesi ve sürekli olarak izlenmesi tavsiye edilmektedir; ancak mümkün olan en kısa sürede uygulanması gereken bazı önemli adımlara aşağıda yer verilmiştir:

  1. Açık kaynak tarama araçlarını kullanarak güvenlik açığı bulunan yazılımların güncel listesini kontrol ediniz. Ayrıntılı bilgi için yukarıdaki linkleri ziyaret edebilirsiniz.
  2. Bir sistemin potansiyel bir tehditle karşı karşıya olup olmadığını belirlemek için kullanılabilecek bazı araçlar bulunmaktadır. Ayrıntılı bilgi için yukarıdaki linkleri ziyaret edebilirsiniz.
  3. Mümkün olan en kısa sürede log4j’nin kullanıldığı tüm uygulamaları en yeni versiyon ile güncelleyiniz. Gerekli yamaların yüklenmesinin mümkün olmadığı durumlarda, ASF tarafından yayınlanan ara çözümlerin uygulanmasını değerlendirebilirsiniz.
  4. Kullanılan ağ güvenliği teknolojisinin güvenlik açığıyla ilgili olarak bilinen tüm tehdit göstergelerini aktif olarak bloke ettiğinden ve uç nokta tespit ve müdahale (EDR) teknolojisinin tüm sunucularda çalışır durumda olduğundan emin olunuz. Ayrıca internete açık olan trafiğin izlenerek, anormal bir port üzerinden trafik akışının olup olmadığının izlenmesi de faydalı olabilir. Henüz kısıtlı portların kullanılarak zafiyetin yayıldığı tespit edilebilmiş olsa da; önemli sistem portlarının internete bakan yüzlerininin erişiminin sınırlandırılması da mutlaka değerlendirilmelidir.
  5. Denetim izi (log) dosyalarını izleyiniz. Tarama aktivitesi sonrasında dikkate gelen şüpheli oturum açma işlemleri, söz konusu zafiyetin sistemler üzerinde varlığını gösterebilir ve bu bakımdan söz konusu aktivite günlükleri sistemin tehdit altında olduğuna ilişkin erken bir gösterge olarak değerlendirilebilir.
  6. İlgili Apache yazılımı genellikle yalnızca sahipleri tarafından güncellenebilen üçüncü taraf programlarda kullanılmaktadır. Bu durumda üçüncü taraf hizmet sağlayıcıların yama yapmaması halinde risk altında olabilirsiniz. Bu doğrultuda etkilenebilecek üçüncü taraf uygulamaların zamanında güncellenerek en son versiyona yükseltilmesi sağlanmalı ve; ağlara, kritik altyapı bileşenlerine veya verilere erişimi olan tüm hizmet sağlayıcılardan mümkün olan en kısa sürede bu güvenlik açığının yamandığına ilişkin yazılı teyit alınmasını talep etmelisiniz.
  7. Eğer etkilenebilecek yazılımların tedarikçisi/hizmet sağlayıcısı olarak faaliyet gösteriyorsanız, hafifletici tedbirlerin direkt olarak uygulanmasını sağlamalı veya mevcut olması halinde güncellemeleri yapmaları için müşterilerle acilen iletişime geçmelisiniz. Hangi sistemlerde Log4j kullanıldığına dair analizler gerçekleştirilmeli ve koda erişimin mümkün olduğu sistemlerde; üreticilere göre yayınlanmış komut satırlarını çalıştırarak analizler gerçekleştirmelisiniz. Bununla birlikte koda erişimin mümkün olmadığı ancak zafiyetten etkilendiği düşünülen sistemler için web üzerinde hizmete açılan güvenilir olduğuna kanaat getirilen test sistemlerinin kullanımı ayrıca değerlendirilmelidir. 

CISO / BT Güvenlik Ekibi / CIO için:

Daha temel bir açıdan bakılması gerekirse; gerçek dünyadaki sofistike bir hal almaya başlayan saldırı eğilimlerine ve atak vektörlerine karşı savunma geliştirebilmek için çok katmanlı bir siber koruma modelinin geliştirilmesi ihtiyacı elzemdir. Derinlemesine savunma (“defense in-depth”) kavramı, katman mimarisinin bilindiği ve korunmasının hedeflendiği sistemlerde, birçok tehdide karşı güçlü bir yetenek olacaktır. Ayrıca kurum uygulamalarının risk seviyelerinin belirlenmesi ve minimumda orta ve yüksek riskli olan uygulamalarla sınırlı olmak üzere ağ bölgeleme, ağ aldatma, mikro segmentasyon, anormal davranış algılama ve ikincil güvenlik duvarları gibi katmanlı ağ güvenliği stratejilerini devreye alınması ve akabinde diğer BT ekosistemi bileşenlerine de yaygınlaştırılması mutlaka değerlendirilmelidir.

Etkili bir saldırı tehdit modellemesi yapılabilmesi için siber dayanıklılık planları yapılmalı ve söz konusu planlar çeşitlendirilmiş zafiyet senaryoları ile test edilmelidir. Buna ilaveten, siber sigorta kullanımı değerlendirilmeli ve kritik/yüksek öncelikli sistemlere verilebilecek zararların en aza indirgenmesi hedeflenmelidir.

Cihaz keşfi ve yamalama

Log4j’nin etkilenen versiyonlarının kullanıldığı tüm dışa açık cihazları tespit edilmesi ve mümkün olan en kısa sürede en güncel versiyona yükseltilmesi sağlanmalıdır.

Eğer yama yapılması mümkün olmayan Log4j2 uygulamaları kullanıyorsanız, Apache’nin websitesinde belirtilen hafifletici tedbirleri incelemek için burayı inceleyebilirsiniz.

Söz konusu zafiyet sebebiyle sistemlerinizin zarar görüp görmediğini inceleyiniz ve eğer onarıcı aksiyon alınması gerekiyorsa, etkilenen sistemlere ilişkin dijital kanıtların muhafaza edilmesini sağlamak önemlidir.

Ayrıca sigortacı uygulamaları çerçevesinde genellikle başvuru aşamasında poliçe sahiplerinin kritik yazılım güvenlik açığı yamaları yayınlandığında bunları ne kadar hızlı uyguladıklarını teyit etmeleri talep edilmektedir. Yamaların uygulanması için belirli bir süre taahhüdünde bulunmuşsanız, yeterince hızlı yama yapmadığınız takdirde bu güvenlik açığından kaynaklanan bir olayın ardından gelecekteki tazminat taleplerinizin reddedilmesi riskiyle karşılaşabilirsiniz.

Ciddi saldırılara hazırlık

Şu anda saldırganların Log4j güvenlik açığını öncelikle etkilenen kuruluşların Bilgi Teknolojileri sistemlerine sızmak için kullandıkları gözlemlenmektedir. Bu erişim ileriki bir aşamada saldırının bir zincir halinde sürdürülmesi amacıyla kullanılabilir. Bu bakımdan Log4j’nin potansiyel tehdit altındaki bir versiyonunu kullanan kuruluşların – yakın zamanda fidye yazılım saldırısı bekleniyormuş gibi – en kötü durum senaryosuna hazırlanmaları şiddetle tavsiye edilmektedir. Şirketler verileri mümkün olduğunca zamanında yedeklemeli ve yedeklerin canlı verilerden izole ortamlarda tutulmasını sağlamalıdır. Kötü niyetli olayları ve kodları tespit etmeye yönelik uç nokta çözümleri de; tehditlerin belirlenmesi ve ortadan kaldırılması açısından faydalı olabilir. Son olarak kuruluşunuzun olay müdahale planını test ettiğinizden ve uygulamaya hazır olduğunuzdan emin olmanız önerilmektedir.  

Risk Müdürleri için:

Sonraki adımlara karar vermek için güvenlik açığından etkilenip etkilenmediğinizi ve siber sigortanızın olup olmadığını değerlendirmelisiniz.

  • Eğer şirketiniz etkilenmişse ve siber sigortanız varsa, derhal sigortacınızla görüşmelisiniz. Marsh bu konuda size yardımcı olmaya hazırdır.
  • Siber sigorta, genellikle siber olayların araştırılması ve bunlara müdahale edilmesi ile ilgili masrafları karşılar. Bildirimde bulunulması üzerine ilk triyaj; görevlendirilen olay müdahale yöneticisi (IRM) tarafından gerçekleştirilir. Sonrasında IRM – BT adli hizmetleri gibi – müdahale tedarikçilerinin sürece dahil edilmesine gerek olup olmadığına karar verir. Eğer kuruluşunuz etkilenmemişse, siber sigortacınıza bilgi vermenize gerek yoktur.
  • Eğer şirketiniz etkilenmişse ve ancak bir siber sigorta poliçeniz yoksa; Marsh Siber Olay Yönetimi ekibi incelemeyi ve müdahaleyi tamamlamanıza yardımcı olacak kaynaklar hakkında rehberlik ve tavsiye sunabilir.  Consider whether you have been impacted and whether you have cyber insurance to determine your next steps. 
  • Kuruluşunuzun etkilenip etkilenmediğinden emin değilseniz ve durumu açıklığa kavuşturmak istiyorsanız, yukarıda açıklanan en iyi uygulamaları takip etmeniz ve poliçe kapsamında tazminat talebine yol açabilecek durumları sigortacınıza bildirmeniz uygun olacaktır. Marsh bu konuda size yardımcı olmaya hazırdır.
  • Eğer siber sigortanızın yenileme tarihi yaklaşmışsa, bu güvenlik açığı ile ilgili sorulara yanıt vermeye hazır olmalısınız.

Son olarak söz konusu zafiyetin neden olabileceği önemli verilerin sızdırılması ve/veya hatalı/yetkisiz gerçekleştirilebilecek işlemler sebebiyle; karşı karşıya kalınabilecek yasal uyum cezai yaptırımlarına karşı kurum uyum birimleri ile koordineli bir şekilde çalışılması ve gerekli aksiyonların zamanında alınması önerilmektedir.

Bu durum ilerisi için ne anlama geliyor?

Zero-Day saldırıları, sofistike bir casusluk operasyonunu yaygın bir suç ağına dönüştürmenin en hızlı yolunu göstermektedir. Daha kötüsü, siber saldırganlar bir ağın zayıflatılmasından saldırının başlatılmasına kadar geçen süreyi hızlandırdıkları için hata payı giderek azalmakta ve kritik sistemlere/verilere yetkisiz erişimler daha direkt ve zahmetsiz hale gelmektedir. Genel olarak mevcut ortamda atik siber risk yönetimi prensiplerini geliştirmek büyük bir önem taşımaktadır. Marsh Siber Risk danışmanları, kuruluşunuzun daha sağlam ve siber tehditlere daha hazır olmasına yardımcı olabilir.

Ayrıca kuruluşların tehdit istihbaratı, kritik güvenlik açıklarının titizlikle yamalanması ve düzenli veri yedekleme ile desteklenen siber güvenlik çözümlerini içeren derinlemesine bir savunma modelini hayata geçirmesi gerekmektedir. Son olarak siber riskin tam olarak ortadan kaldırılması mümkün olmadığından, ilave finansal riskleri ele almak için iyi yapılandırılmış bir siber sigorta programının uygulanması son derece önemlidir.

Marsh yanı başınızda:

Marsh’ın Siber Risk Danışmanlığı ekibi; siber olay müdahalesi ve yönetimi, siber teminat incelemesi veya plasmanı ve siber risk yönetim planlaması ve optimizasyonu için alanında en iyi hizmetler, çözümler ve yanıtlarla her zaman yanınızda. Ayrıntılı bilgi için, Marsh temsilcinizle veya aşağıda belirtilen Marsh siber ekibi üyelerinden biriyle görüşün.

ozlem.cetin@marsh.com 
Marsh Türkiye Siber Risk Danışmanlığı Lideri

ipek.karaege@marsh.com 
Marsh Türkiye FINPRO Lideri

gulistan.yesilmen@marsh.com 
Marsh Türkiye FINPRO Kıdemli Müşteri Temsilcisi

Florian.Saettler@marsh.com 
Head of Cyber Incident Management – Continental Europe

Jean.BayonDeLaTour@marsh.com
Head of Cyber - Continental Europe

Gregory.vandenTop@marsh.com
Cyber Risk Consulting Leader - Continental Europe - North

Nelia.Argaz@marsh.com 
Cyber Risk Consulting Leader - Continental Europe - South

Pablo.Constenla@marsh.com
Head of Cyber Claims & Products – Continental Europe 

Related articles