VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#081-2021] [TLP:CLEAR] Kritisk 0-dagssårbarhet i Log4j berører mange produkter

11-12-2021

JustisCERT ønsker å gi en oppdatering om 0-dagssårbarheten i loggverktøyet Apache Log4j. Sårbarheten har CVE-2021-44228 med CVSS-Score 10.0 og er navngitt Log4Shell. 

 

Loggverktøyet Apache Log4j leveres som frittstående programvare, men det er viktig å være klar over at Log4j også er integrert i en rekke produkter (både software, appliance-løsninger og IOT-enheter) fra veldig mange forskjellige produsenter/selskap (IBM, Oracle, VMware, Cisco, Citrix, F-Secure og en rekke andre).

 

Apache har publisert oppdatering log4j-2.15.0 som retter sårbarheten [1]. JustisCERT fraråder å benytte Log4j versjon 1.x (denne var end of life i august 2015 og har en rekke andre alvorlige sårbarheter som ikke vil bli rettet).  Produsenter/selskap undersøker fortløpende egne løsninger og utgir nødvendige informasjon og oppdateringer for produkter som er berørt, se blant annet [2-6]. Det er derfor svært viktig å følge med på om noen av produktene/løsningene som virksomheten benytter er sårbare og oppdatere disse dersom selskapet bak utgir en oppdatering.

 


Berørte produkter er blant annet:

  • Apache Log4j 2.0 - 2.15.0rc1
  • Software, appliance-løsninger og IOT-enheter fra følgende (NB! Kun et lite utvalg, og langt fra en komplett liste):
    • VMware (bekreftet)
    • Cisco
    • Oracle
    • IBM (bekreftet)
    • F-Secure (bekreftet)
    • UniFi (bekreftet)
    • Citrix
    • SonicWall
    • ElasticSearch (bekreftet)
    • Flume (bekreftet)
    • Logstash (bekreftet)
    • Webex by Cisco (bekreftet)
    • Kafka (bekreftet)
    • Spring-Boot-starter-log4j2 (bekreftet)
    • Apache (Struts, Solr, Druid med mer) (bekreftet)
    • Redis (bekreftet)
    • Ghidra (bekreftet)
    • Blender (bekreftet)

 


Anbefalinger:

  • Patch/oppdater berørte produkter så snart oppdatering er publisert
  • Skru av sårbare produkter/ta de av nett frem til de er oppdatert
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Aktiver IPS-signaturer og annen beskyttelse i brannmurer/IPS-løsninger som kan bidra til å beskytte sårbare løsninger (Fortigate, Check Point, Palo Alto, Snort med flere har signaturer) 
  • Utfør sårbarhetsskanning av egne tjenester/løsninger (produkter fra Tenable, Qualys og Rapid7 er blant flere som kan oppdage sårbare Log4j-løsninger), og oppdater disse


 
Kilder:
[1] https://github.com/apache/logging-log4j2/tags
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
[3] https://status.f-secure.com/incidents/sk8vmr0h34pd
[4] https://psirt.global.sonicwall.com/vuln-list
[5] https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
[6] https://www.vmware.com/security/advisories/VMSA-2021-0028.htm

 

 

Nasjonalt cybersikkerhetssenter (NCSC) samleside:

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/

 

Cybersecurity and Infrastructure Security Agency (CISA) samleside:

https://github.com/cisagov/log4j-affected-db

 

National Cyber Security Centre Netherlands (NCSC-NL) samleside:

https://github.com/NCSC-NL/log4shell/tree/main/software