Tekniske spørsmål og svar om Log4j

Det har vært mye usikkerhet rundt sårbarhet i ulike Java-versjoner, spesielt om  8u121 var sårbar. Å belage seg på at en Java-versjon har gitte sikkerhetsmekanismer er ikke en fullgod løsning.  Det kommer løpende informasjon om at Java-versjon ikke har noe å si og NCSC ønsker derfor at man oppdaterer til siste versjon av Log4j så snart som mulig. Se tiltak. 

Dette er ikke en fullgod løsning og NCSC anbefaler at virksomheter oppdaterer Log4j så raskt som mulig. Hvis dette er problematisk, se de andre ovennevnte tiltakene.

Log4j 1.x er ikke berørt av CVE-2021-44228, ettersom den sårbare lookup-mekanismen ikke eksisterer på samme måte [16]. Log4j 1.x har imidlertid ikke vært vedlikeholdt siden 2015 og har således veldig mange andre sårbarheter. Det er også identifisert en tilsvarende sårbarhet i JMS Appender som kan resultere i RCE. Dette er noe man manuelt må ha skrudd på. Denne vurderes som mindre kritisk fordi den er vanskeligere å utnytte.

Se NCSC-NL sin skanneoversikt her.

Såkalt Geofencing kan være et godt, generelt tiltak og vil sannsynligvis blokkere en del av utnyttelsesforsøkene for CVE-2021-44228. Dette regnes dog ikke som en fullgod løsning, ettersom utnyttelsesforsøk også vil kunne komme fra norske servere

Ja, LDAP(S), RMI, DNS, NIS, IIOP, CORBAL, NDS og HTTP er observert av Cisco. 

Det finnes mange gode ressurser på IOC-er, NCSC-NL har en god oversikt. Merk at blokkering av enkeltindikatorer er ikke en fullgod løsning.

NCSC er kjent med meldinger publisert av bla. @Laughing_Mantis. NCSC har ingen yttligere informasjon og fortsetter å følge utviklingen.

Deutsche Telecom twitret at flesteparten av forsøkene de observerte kom via TOR-nettverket. Er det sammenfallende med det NSCS observerer?

NCSC observerer mye ondsinnet trafikk fra hele Internett, hvor mye kommer fra kjente TOR-noder.