Kritisk sårbarhet i Apache Log4J
Dette er ment som en kort oppsummering angående CVE-2021-44228, som er en sårbarhet oppdaget i Log4J funksjonen.
Denne er brukt i et stort antall applikasjoner og tjenester over hele verden. Og de fleste produsenter og tjenestetilbydere har jobbet iherdig med å bekrefte eller avkrefte om deres produkt eller tjeneste er berørt. Dette er kritisk fordi sårbarheten utnyttes aktivt av trusselaktører over internett.
Til sammenligning: Exchange sårbarheten i mars 2021 kan ganges med 10 000 = Denne er alvorlig! Angriper står og hamrer på sårbarheten. I følge Bleepingcomputer har det alt blitt brukt i ransomware-angrep.
Eksempler på berørte produkter
- Attack Surface: https://github.com/NCSC-NL/log4shell/tree/main/software
- More attack surface: https://gist.github.com/noperator/d360de81c061bc9c628b12d3f0e1e479
- Her er en omfattende samling linker til ulike produsenter sine statements om Log4J: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Write-ups
- https://www.randori.com/blog/cve-2021-44228/
- https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java
Log4j er et loggbibliotek som brukes av java-applikasjoner:
- Vanskelig å finne/oppdage filene, men kan finne ca 90%
- Resterende ca 10 % kan ligge pakket i filer som slutter på .war, .exe, .jar med flere
- Det finnes i både applikasjoner og utstyr
Hva bør du gjøre?
- Fokuser på tjenester som er eksponert mot internett
- Identifisere om systemer benytter Log4J pakken
- Bekrefte/avkrefte om Log4J benyttes i applikasjoner eller tjenester
– Kan gjøres manuelt ved å søke etter string Log4j i mapper og filer
– https://github.com/logpresso/CVE-2021-44228-Scanner - Verifiser versjon og om den er blant de berørte
Dersom du finner sårbare systemer:
- Patch om mulig (Sørg for å ha gyldig support på utstyr)
- Konfigurasjonsendring for å uskadeliggjøre sårbarheten
- Koble system/tjeneste fra internett
- Videre undersøkelser for å vurdere om systemet har vært utnyttet
- Få kontroll på internetteksponerte tjenester først
Atea kan bistå med videre undersøkelse.
Atea Sårbarhetsscan
Sårbarhetsscan kan forhåpentligvis være med å verifisere om virksomheten er berørt eller ikke. Gjennomføringen er som følger: Mot hver ekstern IP-adresse som bes undersøkt kjøres det et søk etter sårbarheter. Dette gjøres fra en ekstern tjeneste og vil kunne avdekke sårbarheter/CVE-er, åpne porter, utdatert Software, sertifikat/SSL-innstillinger og konfigurasjon. Tjenesten verifiserer eksistensen til eventuelle sårbarheter, og vil ikke utføre innbrudd på servere/tjenere.
Påvirkning på enheter som det scannes mot er minimal, ettersom scan tilpasser hastighet dynamisk for å unngå ytterligere påvirkning. Erfaringsmessig har vi ikke hatt noe driftsavbrudd som konsekvens av scan. Det kan dog ikke garanteres at systemet ikke upåvirket eller at systemer og tjenester blir utilgjengelige i en periode.
Atea Incident Response Team
Har du en kritisk hendelse er våre hendelseshåndterere på vakt 24/7 gjennom hele julen. Ring 03060 og be om IRT.
Ønsker du bistand i forbindelse med kartlegging av Log4J?
Kontakt oss her:
