Oppdatering: omfattende utnyttelsesforsøk av kritisk sårbarhet i Apache Log4j
NSM Nasjonalt cybersikkerhetssenter har fredag sendt ut varsler om en svært alvorlig sårbarhet i det Java-baserte loggverktøyet Apache Log4j. Verktøyet brukes av mange Java-baserte applikasjoner og tjenester, er enkel å utnytte, og vil gi angripere full kontroll over berørte systemer. Sårbarheten ble offentlig kjent 9. desember og utnyttelseskode for sårbarheten ble publisert samme dag. Berørte virksomheter bør iverksette tiltak umiddelbart.
Varselet er oppdatert 11.12.21 kl. 12:48
Oppdaterte anbefalinger er gjengitt lenger ned.
Sårbarheten (CVE-2021-44228) vurderes som særlig kritisk av flere årsaker. Den berører i prinsippet alt som er integrert mot og logges av Log4j, hvilket omfatter et stort antall utbredte tjenester. I tillegg er sårbarheten enkel å utnytte og vil gi angripere full kontroll over berørte systemer. Sårbarheten ble offentlig kjent 9. desember1 og utnyttelseskode for sårbarheten ble publisert samme dag2.
NSM NCSC ser ofte at det kan gå svært raskt fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den. Dette gjelder særlig sårbarheter som tillater fjernkjøring av kode fra uautentiserte brukere, og det gjelder spesielt tilfeller hvor utnyttelseskode for sårbarheten er blitt gjort offentlig kjent.
Den aktuelle sårbarheten i Log4j er et eksempel på begge deler. I tillegg kompliseres situasjonen av at Log4j fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og -tjenester brukt av svært mange virksomheter. Dermed vil ikke nødvendigvis virksomheter være klar over at de er eksponert for sårbarheten, og ansvaret for å sikkerhetsoppdatere ligger i flere tilfeller hos tredjepart som leverer den aktuelle tjenesten. Kartlegging av hvorvidt man er berørt eller ikke kan dermed være utfordrende.
Det er p.t. ikke rapportert om vellykket utnyttelse i Norge. NCSC har imidlertid gjennom vårt sensornettverk Varslingssystem for digital infrastruktur (VDI) observert utnyttelsesforsøk mot en rekke virksomheter, samt fått informasjon om tilsvarende utnyttelsesforsøk fra flere av våre samarbeidspartnere.
NCSC følger situasjonen nøye og er i dialog med relevante nasjonale og internasjonale samarbeidspartnere.
Vi ber om at virksomheter som avdekker vellykket utnyttelse av sårbarheten tar kontakt med NCSCs operasjonssenter per telefon eller e-post:
- 02497 (telefon)
- [email protected]
ANBEFALTE TILTAK
Berørte virksomheter bør umiddelbart oppdatere Log4j til versjon 2.15.0, som er tilgjengelig på Apache sin nettside3. NCSC er derimot kjent med at sikkerhetsoppdatering kan være utfordrende, da det i mange tilfeller vil være tredjepart som må oppdatere Log4J og ikke virksomheten selv.
Dersom sikkerhetsoppdatering ikke enkelt lar seg gjennomføre bør virksomheter ta aktuelle tjenester av nett, eller skru av Log4j frem til en varig løsning foreligger.
Utover å oppdatere kan man også skru av logging ved å sette parameteret log4j2.formatMsgNoLookups til "true":
- - formatMsgNoLookups = true [1]
Vi understreker at dette siste tiltaket bare vil være relevant for versjoner fra 2.10 og nyere. For versjoner fra og med 2.15.0 er denne parameterjusteringen allerede forhåndsinnstilt.
Referanser:
1https://twitter.com/P0rZ9/status/1468949890571337731 [twitter.com]
2https://github.com/tangxiaofeng7/apache-log4j-poc [github.com]
3https://logging.apache.org/log4j/2.x/