Utvidet oppdatering for Apache log4j CVE-2021-44228
Her følger oppdatering til våre tidligere varsler rundt sårbarheten CVE-2021-44228 i Apache Log4j1,2,3.
NCSC har fra 10. desember og gjennom dagen 11. desember observert omfattende utnyttelsesforsøk gjennom VDI, og fått rapporter om tilsvarende fra samarbeidspartnere nasjonalt og internasjonalt.
Sårbarheten vurderes stadig som særlig kritisk da den i prinsippet berører alt som er integrert mot og logges av Log4j, hvilket omfatter et foreløpig uavklart, men likevel stort antall utbredte tjenester.
Apache publiserte 10.desember versjon 2.15.0 av log4j, som tidligere var henvist til som versjon 2.15.0-rc2. Dette betyr at 2.15.0 og 2.15.0-rc2 i utgangspunktet er like, og at begge adresserer sårbarheten4,8. Vi anbefaler systemeiere å oppdatere sine systemer til 2.15.0 så raskt det lar seg gjøre.
NCSC vil gjøre oppmerksom på at den nyeste, patchede versjonen (2.15.0) av log4j, i likhet med alle versjoner over 2.12.1, krever Java 8. Dette betyr at virksomheter som ønsker å oppdatere biblioteket potensielt også må oppdatere sin Java-versjon om dette ikke allerede er gjort4,5.
Merk at Java versjon 8u121 (lansert 2017-01-17) har ekstra sikkerhetsmekanismer som standard for å minske faren for fjerneksekvering av kode5. Innstillingene som styrer dette er satt til `false` som standard i Java versjon 8u121 og senere:
- com.sun.jndi.rmi.object.trustURLCodebase
- com.sun.jndi.cosnaming.object.trustURLCodebase
Dersom disse sikkerhetsmekanismene manuelt er skrudd av er man sårbar.
I følge skaperen av log4j skal ikke versjon 1.x være sårbar, men det er viktig å merke seg at denne ikke har vært vedlikeholdt siden 2015 og inneholder flere andre sårbarheter6,7.
NCSC vil sende ut oppdatert informasjon fortløpende og vi ønsker å vise til vårt tidligere varsel for ytterligere vurderinger og tiltak3.
NCSC er tilgjengelig 24/7 på 02497 og [email protected]
Referanser:
1[NCSC-NO#21375915] [TLP:HVIT][NCSC-varsel] Kritisk sårbarhet i Apache Log4j
2[NCSC-NO#21551146] [TLP:HVIT][NCSC-Varsel] Oppdatert varsel for kritisk sårbarhet i Apache Log4j2
3[NCSC-NO#21429282][NCSC-varsel] VIKTIG - Oppdatering: Kritisk sårbarhet i Apache Log4j
4https://logging.apache.org/log4j/2.x/download.html
5https://www.oracle.com/java/technologies/javase/8u121-relnotes.html
6https://twitter.com/ceki/status/1469696174537990150