2021-12-20

Kritisk sårbarhet i Apache Log4J

Dette er ment som en kort oppsummering angående CVE-2021-44228, som er en sårbarhet oppdaget i Log4J funksjonen. Denne er brukt i et stort antall applikasjoner og tjenester over hele verden. Og de fleste produsenter og tjenestetilbydere har jobbet iherdig med å bekrefte eller avkrefte om deres produkt eller tjeneste er berørt. Dette er kritisk fordi sårbarheten utnyttes aktivt av trusselaktører over internett.

Til sammenligning: Exchange sårbarheten i mars 2021 kan ganges med 10 000 = Denne er alvorlig! Angriper står og hamrer på sårbarheten. I følge www.bleepingcomputer.com har det alt blitt brukt i ransomware-angrep.

Eksempler på berørte produkter

Attack Surface: https://github.com/NCSC-NL/log4shell/tree/main/software

More attack surface: https://gist.github.com/noperator/d360de81c061bc9c628b12d3f0e1e479

Her er en omfattende samling linker til ulike produsenter sine statements om Log4J: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592  

Write-ups

https://www.randori.com/blog/cve-2021-44228/

https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java


Log4j er et loggbibliotek som brukes av java-applikasjoner:

  • Vanskelig å finne/oppdage filene, men kan finne ca 90%
  • Resterende ca 10 % kan ligge pakket i filer som slutter på .war, .exe, .jar med flere
  • Det finnes i både applikasjoner og utstyr

Hva bør du gjøre?

  • Fokuser på tjenester som er eksponert mot internett
  • Identifisere om systemer benytter Log4J pakken
  • Bekrefte/avkrefte om Log4J benyttes i applikasjoner eller tjenester
    – Kan gjøres manuelt ved å søke etter string Log4j i mapper og filer
    – https://github.com/logpresso/CVE-2021-44228-Scanner 
  • Verifiser versjon og om den er blant de berørte


Dersom du finner sårbare systemer:

  • Patch om mulig (Sørg for å ha gyldig support på utstyr)
  • Konfigurasjonsendring for å uskadeliggjøre sårbarheten
  • Koble system/tjeneste fra internett
  • Videre undersøkelser for å vurdere om systemet har vært utnyttet
  • Få kontroll på internetteksponerte tjenester først

Atea kan bistå med videre undersøkelse.


Atea Sårbarhetsscan

Sårbarhetsscan kan forhåpentligvis være med å verifisere om virksomheten er berørt eller ikke. Gjennomføringen er som følger: Mot hver ekstern IP-adresse som bes undersøkt kjøres det et søk etter sårbarheter. Dette gjøres fra en ekstern tjeneste og vil kunne avdekke sårbarheter/CVE-er, åpne porter, utdatert Software, sertifikat/SSL-innstillinger og konfigurasjon. Tjenesten verifiserer eksistensen til eventuelle sårbarheter, og vil ikke utføre innbrudd på servere/tjenere.

Påvirkning på enheter som det scannes mot er minimal, ettersom scan tilpasser hastighet dynamisk for å unngå ytterligere påvirkning. Erfaringsmessig har vi ikke hatt noe driftsavbrudd som konsekvens av scan. Det kan dog ikke garanteres at systemet ikke upåvirket eller at systemer og tjenester blir utilgjengelige i en periode.


Atea Incident Response Team

Har du en kritisk hendelse er våre hendelseshåndterere på vakt 24/7 gjennom hele julen. Ring 03060 og be om IRT.


Ønsker du bistand i forbindelse med kartlegging av Log4J?
Kontakt oss her:









Ved samtykke godtar du at vi behandler og lagrer dine personopplysninger i våre systemer, og at dine opplysninger kan deles med våre samarbeidspartnere. Les mer i vår personvernserklæring og samtykket.