[JustisCERT-varsel] [#079-2021] [TLP:CLEAR] Kritisk sårbarhet i Apache Log4j

JustisCERT ønsker å varsle om en kritisk sårbarhet (CVE-2021-44228) i det Java-baserte loggverktøyet Apache Log4j. Sårbarheten ble publisert på Twitter 9. desember 2021. Utnyttelse av sårbarheten tillater fjernkjøring av kode ved at en angriper sender en spesielt utformet tekstlinje som logges av verktøyet. Det foreligger åpent tilgjengelig utnyttelseskode (proof-of-concept) for sårbarheten. JustisCERT gjør oppmerksom på at også Apache log4j-2.15.0-rc1 er sårbar. [1] [2]

Apache har publisert oppdatering log4j-2.15.0-rc2 som skal rette sårbarheten [3].

Berørte produkter er:

• Apache Log4j 2.0 - 2.15.0rc1

Anbefalinger:

• Patch/oppdater berørte produkter snarest
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
• Begrens hvilke IPer som kan administrere løsningen til kun de faste interne IPene som administratorer av løsningen benytter
• Bruk passord på minst 16 tegn
• Aktiver 2-faktor/multifaktor autentisering (MFA) for alle internetteksponerte tjenester
• Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser

Kilder:
[1] https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
[2] https://github.com/tangxiaofeng7/apache-log4j-poc
[3] https://github.com/apache/logging-log4j2/tags