SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#083-2021] [TLP:CLEAR] Flere sårbarheter i Log4j - Mange produkter er berørt

19-12-2021

JustisCERT ønsker å gi en oppdatering om tidligere varslet 0-dagssårbarhet i loggverktøyet Apache Log4j (CVE-2021-44228 med CVSS-score 10.0) [1]. Nye sårbarheter har blitt oppdaget i Log4j (CVE-2021-45046 med CVSS-Score 9.0 og CVE-2021-45105 med CVSS-Score 7.5) hvilket tillater en angriper å utføre et tjenestenektangrep (DoS) mot et berørt system.

 

Apache har publisert oppdatering log4j-2.17.0 som retter sårbarhetene [2]. JustisCERT fraråder å benytte Log4j versjon 1.x (denne var end of life i august 2015 og har en rekke andre alvorlige sårbarheter som ikke vil bli rettet).

 

Loggverktøyet Apache Log4j leveres som frittstående programvare, men det er viktig å være klar over at Log4j også er integrert i en rekke produkter (både software, appliance-løsninger og IOT-enheter) fra veldig mange forskjellige produsenter/selskap. JustisCERT forventer dessverre at nye og alvorlige sårbarheter vil bli oppdaget i Log4j innen kort tid. Det er derfor svært viktig å følge med på om noen av produktene/løsningene som virksomheten benytter er sårbare og oppdatere disse når selskapet bak utgir nye oppdateringer, se blant annet [3-8].

 

NSM har publisert en samleside med nyttig informasjon om sårbarhetene i Log4j [9].

 


Berørte produkter kan blant annet være:

  • Apache Log4j 2.0-beta9 - 2.16.0
  • Software, appliance-løsninger og IOT-enheter fra følgende (NB! Kun et lite utvalg, langt fra en komplett liste):
    • VMware (bekreftet)
    • Cisco (bekreftet)
    • Oracle (bekreftet)
    • IBM (bekreftet)
    • F-Secure (bekreftet)
    • UniFi (bekreftet)
    • Citrix (bekreftet)
    • SonicWall (bekreftet)
    • Apache (Struts, Solr, Druid, Kafka med mer) (bekreftet)
    • Elastic (ElasticSearch, Logstash, med mer) (bekreftet)
    • Webex by Cisco (bekreftet)
    • Spring-Boot-starter-log4j2 (bekreftet)
    • Redis (bekreftet)
    • Ghidra (bekreftet)
    • Blender (bekreftet)
    • Acos (NB! ACOS er ikke berørt, programvare fra ACOS benytter ikke Log4j. Dette er bekreftet av ACOS den 20.12.2021)
    • Og mange, mange flere…

 


Anbefalinger:

  • Patch/oppdater berørte produkter så snart oppdatering er publisert
  • Skru av sårbare produkter/ta de av nett frem til de er oppdatert
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Aktiver IPS-signaturer og annen beskyttelse i brannmurer/IPS-løsninger som kan bidra til å beskytte sårbare løsninger (Fortigate, Check Point, Palo Alto, Snort med flere har Log4Shell-signaturer) 
  • Utfør sårbarhetsskanning av egne tjenester/løsninger (produkter fra Tenable, Qualys, Rapid7 med flere kan oppdage sårbare Log4j-løsninger), og oppdater løsninger dersom de er sårbare

 
 
Kilder:
[1] [JustisCERT-varsel] [#081-2021]
[2] https://github.com/apache/logging-log4j2/tags
[3] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
[4] https://status.f-secure.com/incidents/sk8vmr0h34pd
[5] https://psirt.global.sonicwall.com/vuln-list
[6] https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
[7] https://www.vmware.com/security/advisories/VMSA-2021-0028.html
[8] https://support.citrix.com/article/CTX335705
[9] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/samleside-for-log4j/

 

Cybersecurity and Infrastructure Security Agency (CISA) samleside:

https://github.com/cisagov/log4j-affected-db

 

National Cyber Security Centre Netherlands (NCSC-NL) samleside:

https://github.com/NCSC-NL/log4shell/tree/main/software