Cystore

Kritisk Remote Code Execution sårbarhet: CVSS 10.0  Log4shell - CVE-2021-44228 

Ny kritisk sårbarhet upptäckt – vad göra?

En ny kritisk sårbarhet har upptäckts i java biblioteket log4j. Det utsatta java biblioteket används för loggning av miljontals applikationer från alla möjliga leverantörer. Log4j är väldigt vanligt förekommande vilket medför en hög risk för exponering.

Sårbarheten är en så kallad ”Remote Code Execution” den möjliggör alltså att ”Ej behöriga” kan exekvera vilken kod de vill på den utsatta applikationen som kör log4j.

Enkel att utnyttja

Den här sårbarheten anses vara extra kritisk då den upptäckts på ett väldigt vanligt förekommande javabibliotek, men också för att den är väldigt enkel att utnyttja. Det krävs ingen hög kompetens inom området och vad man ser i olika omvärldsbevakningar är att denna sårbarhet just nu utnyttjas för fullt i så kallade ”spray-and-pray” metoder. Det innebär att hackare runt om i världen med hjälp av automatik attackerar allt möjligt i hop om att få träff.

Det krävs endast en enda sträng av text för att utnyttja sårbarheten!

Vad bör man göra? 

Om er organisation använder log4j biblioteket bör det uppgraderas så snart som möjligt till log4j-2.1.50.rc2. Man bör också se till så att java instansen kör den senaste versionen. I en del fall går det dock inte att uppgradera detta bibliotek själv utan man måste vänta på att leverantören släpper en patch till sin produkt eller system. Är den sårbara applikationen exponerad bör beslut om isolering tas alternativt använda andra säkerhets lager för att tillfälligt mitigera risken, så som en WAF (Web Applikation Firewall).

Är man osäker på om log4j används i några av sina applikationer kan man i första hand vända sig till denna publika lista där ett öppet Community sammanställt sina fynd av sårbara applikationer:

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

https://github.com/YfryTchsGD/Log4jAttackSurface

Applikationer i fokus:

  • Apache
  • PulseSecure
  • IBM Qradar SIEM
  • PaloAlto Panorama
  • VMWare
  • Redis
  • Logstash
  • ElasticSearch
  • UniFi

Steg 1

Identifiera om det finns applikationer, servrar eller system som kör den sårbara versionen av log4j. Använd listorna ovan för att påbörja arbetet. All inkommande och utgående trafik till exponerade applikationer bör monitorernas där följande sträng indikerar försök till intrång: ” ${jndi:”

Steg 2

Patcha/mitigera identifierade sårbara system och applikationer. Prioritera applikationer och servrar som är exponerade mot internet. Om patching ej är möjligt bör dessa isoleras alternativt trafik filtreras så mycket som möjligt.

Steg 3

Leta efter ytterligare indikationer av intrång. Utgå från de identifierade sårbara systemen. Var kan en potentiell hacker ha tagit sig vidare? Vilka andra system kan den ha hoppat till? Monitorera utgående trafik och leta efter indikationer på att intrång kan ha skett.

Mer information om sårbarheten:

https://nvd.nist.gov/vuln/detail/CVE-2021-44228