Evet, güzel bir soru sormuşsunuz. Böyle bir büyük bir açığı uzun zamandır görmemiştim. Hatta bunu ben değil, bir siber güvenlik firması olan "Tenable" son 10 yılın en kapsamlı/riskli zafiyeti olarak belirtiyor. Gerçekten de öyle. Bu zafiyetin tehlike skoru 10/10 çünkü uzaktan kod yürütebilmesine direkt olarak olanak sağlıyor. Bu açığı ilk saptayan kurum "Alibaba Group"un siber güvenlik departmanı. Yani aslına baktığımızda her zafiyet şans eseri mantığında bulunur(zafiyetler çok spesifik ve derin düşünce gerektiriyor olsa da milyonlarca insanın üzerinde rasgele çalışmasıyla zafiyet saptamaları kolay olmakta). Önümüzde ki 300 satırlık kod parçasını 5 sene her gün okusakta, bir gün gelir 5 senedir görmediğimiz bir mantıksızlığı/açığı farklı bir açıdan baktığımızda görmüş oluruz.
Aslına baktığımızda bunun gibi zafiyetler her gün hatta her saat başı keşfediliyor fakat asıl sıkıntı bu açığın belirli bir versiyonda değil bütün kütüphaneyi kapsaması.
Log4j kütüphanesi nedir ?
- Apache Log4j , orijinal olarak Ceki Gülcü (Türk) tarafından yazılmış Java tabanlı bir günlük tutma aracıdır. Apache Software Foundation'ın bir projesi olan Apache Logging Services'in bir parçasıdır . Log4j, birkaç Java günlüğe kaydetme çerçevesinden biridir.
Her ne kadar zafiyet açığına hemen müdahale edilip (Java açık kaynaktır, topluluk tarafından geliştirilir) zafiyet yamalanmış olsa da bu olay tam anlamıyla bir siber pandemi atmosferi yaratacak, bundan eminim ve etkileri en az 5-10 sene, hatta çok daha fazla sürecektir. Bunun sebebi ise eski cihazlardır. Kullanılmayan, kıyıda köşede duran, çok eski üretimli olan o kadar çok cihaz var ki söylemesi bile zor. Bunların içinde haliyle eski versiyon bir Java olduğunda içinde ki log4j kütüphanesi de zafiyetli olduğu için bu zafiyetin ömrü ve etkisi oldukça uzun sürecek gibi duruyor :)