[JustisCERT-varsel] [#081-2021] [TLP:CLEAR] Kritisk 0-dagssårbarhet i Log4j berører mange produkter
JustisCERT ønsker å gi en oppdatering om 0-dagssårbarheten i loggverktøyet Apache Log4j. Sårbarheten har CVE-2021-44228 med CVSS-Score 10.0 og er navngitt Log4Shell.
Loggverktøyet Apache Log4j leveres som frittstående programvare, men det er viktig å være klar over at Log4j også er integrert i en rekke produkter (både software, appliance-løsninger og IOT-enheter) fra veldig mange forskjellige produsenter/selskap (IBM, Oracle, VMware, Cisco, Citrix, F-Secure og en rekke andre).
Apache har publisert oppdatering log4j-2.15.0 som retter sårbarheten [1]. JustisCERT fraråder å benytte Log4j versjon 1.x (denne var end of life i august 2015 og har en rekke andre alvorlige sårbarheter som ikke vil bli rettet). Produsenter/selskap undersøker fortløpende egne løsninger og utgir nødvendige informasjon og oppdateringer for produkter som er berørt, se blant annet [2-6]. Det er derfor svært viktig å følge med på om noen av produktene/løsningene som virksomheten benytter er sårbare og oppdatere disse dersom selskapet bak utgir en oppdatering.
Berørte produkter er blant annet:
- Apache Log4j 2.0 - 2.15.0rc1
- Software, appliance-løsninger og IOT-enheter fra følgende (NB! Kun et lite utvalg, og langt fra en komplett liste):
- VMware (bekreftet)
- Cisco
- Oracle
- IBM (bekreftet)
- F-Secure (bekreftet)
- UniFi (bekreftet)
- Citrix
- SonicWall
- ElasticSearch (bekreftet)
- Flume (bekreftet)
- Logstash (bekreftet)
- Webex by Cisco (bekreftet)
- Kafka (bekreftet)
- Spring-Boot-starter-log4j2 (bekreftet)
- Apache (Struts, Solr, Druid med mer) (bekreftet)
- Redis (bekreftet)
- Ghidra (bekreftet)
- Blender (bekreftet)
Anbefalinger:
- Patch/oppdater berørte produkter så snart oppdatering er publisert
- Skru av sårbare produkter/ta de av nett frem til de er oppdatert
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Aktiver IPS-signaturer og annen beskyttelse i brannmurer/IPS-løsninger som kan bidra til å beskytte sårbare løsninger (Fortigate, Check Point, Palo Alto, Snort med flere har signaturer)
- Utfør sårbarhetsskanning av egne tjenester/løsninger (produkter fra Tenable, Qualys og Rapid7 er blant flere som kan oppdage sårbare Log4j-løsninger), og oppdater disse
Kilder:
[1] https://github.com/apache/logging-log4j2/tags
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
[3] https://status.f-secure.com/incidents/sk8vmr0h34pd
[4] https://psirt.global.sonicwall.com/vuln-list
[5] https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
[6] https://www.vmware.com/security/advisories/VMSA-2021-0028.htm
Nasjonalt cybersikkerhetssenter (NCSC) samleside:
Cybersecurity and Infrastructure Security Agency (CISA) samleside:
https://github.com/cisagov/log4j-affected-db
National Cyber Security Centre Netherlands (NCSC-NL) samleside: