IT-sikkerhet 20-12-2021

Kritisk sårbarhet i Apache Log4J

Dette er ment som en kort oppsummering angående CVE-2021-44228, som er en sårbarhet oppdaget i Log4J funksjonen. Denne er brukt i et stort antall applikasjoner og tjenester over hele verden. Og de fleste produsenter og tjenestetilbydere har jobbet iherdig med å bekrefte eller avkrefte om deres produkt eller tjeneste er berørt. Dette er kritisk fordi sårbarheten utnyttes aktivt av trusselaktører over internett.

Mann sitter og jobber på PC med verdenskart på skjerm i bakgrunnen

Til sammenligning: Exchange sårbarheten i mars 2021 kan ganges med 10 000 = Denne er alvorlig! Angriper står og hamrer på sårbarheten. I følge www.bleepingcomputer.com har det alt blitt brukt i ransomware-angrep.

Eksempler på berørte produkter

Attack Surface: https://github.com/NCSC-NL/log4shell/tree/main/software

More attack surface: https://gist.github.com/noperator/d360de81c061bc9c628b12d3f0e1e479

Her er en omfattende samling linker til ulike produsenter sine statements om Log4J: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592  

Write-ups

https://www.randori.com/blog/cve-2021-44228/

https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java


Log4j er et loggbibliotek som brukes av java-applikasjoner:

  • Vanskelig å finne/oppdage filene, men kan finne ca 90%
  • Resterende ca 10 % kan ligge pakket i filer som slutter på .war, .exe, .jar med flere
  • Det finnes i både applikasjoner og utstyr

Hva bør du gjøre?

  • Fokuser på tjenester som er eksponert mot internett
  • Identifisere om systemer benytter Log4J pakken
  • Bekrefte/avkrefte om Log4J benyttes i applikasjoner eller tjenester
    – Kan gjøres manuelt ved å søke etter string Log4j i mapper og filer
    – https://github.com/logpresso/CVE-2021-44228-Scanner 
  • Verifiser versjon og om den er blant de berørte


Dersom du finner sårbare systemer:

  • Patch om mulig (Sørg for å ha gyldig support på utstyr)
  • Konfigurasjonsendring for å uskadeliggjøre sårbarheten
  • Koble system/tjeneste fra internett
  • Videre undersøkelser for å vurdere om systemet har vært utnyttet
  • Få kontroll på internetteksponerte tjenester først

Atea kan bistå med videre undersøkelse.


Atea Sårbarhetsscan

Sårbarhetsscan kan forhåpentligvis være med å verifisere om virksomheten er berørt eller ikke. Gjennomføringen er som følger: Mot hver ekstern IP-adresse som bes undersøkt kjøres det et søk etter sårbarheter. Dette gjøres fra en ekstern tjeneste og vil kunne avdekke sårbarheter/CVE-er, åpne porter, utdatert Software, sertifikat/SSL-innstillinger og konfigurasjon. Tjenesten verifiserer eksistensen til eventuelle sårbarheter, og vil ikke utføre innbrudd på servere/tjenere.

Påvirkning på enheter som det scannes mot er minimal, ettersom scan tilpasser hastighet dynamisk for å unngå ytterligere påvirkning. Erfaringsmessig har vi ikke hatt noe driftsavbrudd som konsekvens av scan. Det kan dog ikke garanteres at systemet ikke upåvirket eller at systemer og tjenester blir utilgjengelige i en periode.


Atea Incident Response Team

Har du en kritisk hendelse er våre hendelseshåndterere på vakt 24/7 gjennom hele julen. Ring 03060 og be om IRT.


Ønsker du bistand i forbindelse med kartlegging av Log4J?
Kontakt oss her:

Ved samtykke godtar du at vi behandler og lagrer dine personopplysninger i våre systemer, og at dine opplysninger kan deles med våre samarbeidspartnere. Les mer i vår personvernserklæring og samtykket.