Sårbarhet i Log4j – leverantörsspecifikt
Log4Shell en 0-day exploit (RCE) (CVE-2021-44228) som upptäcktes i Apache Log4j, som är en Java-loggningsbibliotek som nyttjas ofta. Den gör det möjligt för hotaktörer att ta full kontroll över servrar utan autentisering.
De flesta inloggningsfönster i världen granskar vanligtvis misslyckade inloggningsförsök, vilket betyder att praktiskt taget alla autentiserade sidor som använder Log4j är sårbara. Läs mer om upptäckten av ny sårbarhet i en tidigare blogg.
Det är ganska illa
På grund av att Log4j är ett Java-loggningsverktyg som har en frekvent användning och finns i en stor del av Java-applikationer kan vi förvänta oss att detta kommer att kvarstå i miljöer i månader eller till och med år. Apache är utbrett och omfattar nästan en tredjedel av alla webbservrar i världen. Det betyder att felet är av förödande karaktär.
Vilka leverantörer är utsatta?
Att försöka identifiera vilka leverantörer som har utsatta produkter kan vara svårt. Vi på Cygate har därför satt ihop en lista med status från olika leverantörer. Listan kommer att uppdateras kontinuerligt.
Har ni frågor eller funderingar är ni välkomna att höra av er till oss! Vi har möjlighet att hjälpa till med identifiering av sårbara produkter samt förslag på mitigering/åtgärd.
Status hos olika leverantörer
Aruba
Har identifierat en sårbar produkt där vissa konfigurationer behöver ändras i Silver Peak Orchestrator följ länken nedan för mer information.
https://www.arubanetworks.com/website/techdocs/sdwan/docs/advisories/media/security_advisory_notice_apache_log4j2_cve_2021_44228.pdf
Status på övriga produkter:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-019.txt
Broadcom
Påverkade produkter:
- CA Advanced Authentication Version 9.1, 9.1.01
- Symantec Endpoint Protection Manager(SEPM) Version 14.3
Broadcom rekommenderar sina kunder att åtgärda genom följande sätt på länken nedan under ”Mitigation”
CheckPoint:
Har inga sårbara produkter. Se nedan länk för mer information:
Cisco
Uppdaterar sin lista 16.00 CET, 20.00 CET och 24.00 CET över påverkade produkter samt lösningar. Följ länken nedan för att komma till listan.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
Cyberark
Citrix
Leverantören har vissa produkter som är påverkade av log4j sårbarheten följ länken nedan för mer information.
Citrix Security Advisory for Apache CVE-2021-44228 and CVE-2021-45046
Cyberreason
Har inga sårbara produkter
Mer information:
Exabeam
Har inte publicerat information om sina produkter.
Extrahop
Har inte publicerat information om sina produkter.
F5
F5 har inte identifierat att några av deras produkter ska vara sårbara men F5 undersöker fortfarande problemet för det angivna produkterna och kommer att uppdatera den här artikeln med den senaste informationen.
https://support.f5.com/csp/article/K19026212
Fortinet
Har vissa produkter som är utsatta kolla denna länk för att se vilka produkter det handlar om samt deras åtgärdsförslag:
https://www.fortiguard.com/psirt/FG-IR-21-245?utm_source=blog&utm_campaign=blog
Infoblox
Log4j sårbarheten påverkar inte senaste versionerna av NIOS 8.4, 8.5 och 8.6 NetMRI, BloxOneDDI, BloxOne Threat Defense eller andra SaaS produkter.
Infoblox Response to Apache Log4j Vulnerability
Infoblox NIOS and BloxOne products not vulnerable to CVE-2021-44228
Ivanti
Leverantören har vissa produkter som är påverkade av log4j sårbarheten.
- Ivanti Avalanche 6.3
CVE-2021-44228: Avalanche Remote code injection in Log4j (ivanti.com) - Ivanti File Director
Apache Log4j Zero-Day Vulnerability and Ivanti File Director (CVE-2021-44228) - MobileIron Core (Alla versioner)
MobileIron Sentry (9.13, 9.14)
Core Connector (Alla versioner)
Reporting Database (Alla versioner)
Security Bulletin:CVE-2021-44228: MobileIron Remote code injection in Log4j (ivanti.com)
Logpoint
Logpoint har för tillfället inga produkter sårbara mot Log4j.
Status on Log4j vulnerability in LogPoint
Microsoft
Leverantören har inte identifierat några produkter som kör log4j men viss försiktighet med råd ges i följande länk:
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
Outpost24
Leverantören har efter intern utredning inte hittat några sårbara produkter.
Mer information:
https://outpost24.com/blog/CVE-2021-44228-Critical-vulnerability-in-Apache-Log4j-library
Palo Alto Networks
Leverantören har inga produkter som är påverkade av sårbarheten.
https://security.paloaltonetworks.com/CVE-2021-44228
Pointsharp
Pointsharp använder sig inte av log4j biblioteket och är därmed inte sårbara.
Rapid7
Update on Log4Shell’s Impact on Rapid7 Solutions and Systems | Rapid7 Blog
Rapid7 har övervakat sina produkter kontinuerligt och har hittills inte identifierat några lyckade intrångsförsök i sina produkter. För kunder som har on-prem lösningar kan vissa åtgärder krävas för att fullt avlägsna Log4Shell sårbarheten . Läs länken ovan.
RSA
Följande produkter är utsatta:
- SecurID Authentication Manager 8.6 Patch 1. This contains a version of log4j that is vulnerable to CVE-2021-44228. This version of log4j is not present in AM 8.6.
Log4j versionen i AM 8.6 Patch 1 är sårbar men enligt leverantören utgör den ingen risk. RSA rekommenderar inte att ta bort Patch 1 då en innehåller många andra säkerhetsfixar och utgör då en större fara.
SentinelOne
Har utfört en intern utredning och inga av deras produkter eller infrastruktur är påverkade av sårbarheten
Mer information:
https://www.sentinelone.com/blog/cve-2021-44228-staying-secure-apache-log4j-vulnerability/
Splunk
Splunk har vissa produkter som är sårbara mot log4shell kolla länken nedan för att se vilka produkter som är drabbade samt Splunks åtgärdsförslag.
Thales
Leverantören har vissa produkter som är sårbara kolla länken nedan för mer information.
Knowledge Article View – Thales Customer Support (thalesgroup.com)
Vectra
Leverantören har inga sårbara produkter.
Vectra Statement on CVE-2021-44228 (Log4j)
Skribenter: Caroline Dristig och Marcus Petsen.