Tekniske spørsmål og svar om Log4j
Spørsmål og svar om Log4J-sårbarheten med forslag til tiltak og henvisninger til verktøy.
Ofte stilte spørsmål
Hvilke Java-versjoner er sårbare?
Det har vært mye usikkerhet rundt sårbarhet i ulike Java-versjoner, spesielt om 8u121 var sårbar. Å belage seg på at en Java-versjon har gitte sikkerhetsmekanismer er ikke en fullgod løsning. Det kommer løpende informasjon om at Java-versjon ikke har noe å si og NCSC ønsker derfor at man oppdaterer til siste versjon av Log4j så snart som mulig. Se tiltak.
Dette er ikke en fullgod løsning og NCSC anbefaler at virksomheter oppdaterer Log4j så raskt som mulig. Hvis dette er problematisk, se de andre ovennevnte tiltakene.
Er det avklart om sårbarheten er gjeldende for versjoner pre 2.0 ?
Log4j 1.x er ikke berørt av CVE-2021-44228, ettersom den sårbare lookup-mekanismen ikke eksisterer på samme måte [16]. Log4j 1.x har imidlertid ikke vært vedlikeholdt siden 2015 og har således veldig mange andre sårbarheter. Det er også identifisert en tilsvarende sårbarhet i JMS Appender som kan resultere i RCE. Dette er noe man manuelt må ha skrudd på. Denne vurderes som mindre kritisk fordi den er vanskeligere å utnytte.
Hvilke verktøy kan hjelpe å scanne for sårbarhet internt i organisasjonen?
Se NCSC-NL sin skanneoversikt her.
Vil innstramming med GeoLocation Norway på innkommende trafikk være et effektivt tiltak?
Såkalt Geofencing kan være et godt, generelt tiltak og vil sannsynligvis blokkere en del av utnyttelsesforsøkene for CVE-2021-44228. Dette regnes dog ikke som en fullgod løsning, ettersom utnyttelsesforsøk også vil kunne komme fra norske servere
Kan callback bruke noen av de andre protokollene som støttes enn LDAP?
Ja, LDAP(S), RMI, DNS, NIS, IIOP, CORBAL, NDS og HTTP er observert av Cisco.
Kjenner man til IP-adresser til malware payload-siter?
Det finnes mange gode ressurser på IOC-er, NCSC-NL har en god oversikt. Merk at blokkering av enkeltindikatorer er ikke en fullgod løsning.
Finnes en ormbar versjon av skadevaren?
NCSC er kjent med meldinger publisert av bla. @Laughing_Mantis. NCSC har ingen yttligere informasjon og fortsetter å følge utviklingen.
Stammer trafikken fra TOR-nettverket?
Deutsche Telecom twitret at flesteparten av forsøkene de observerte kom via TOR-nettverket. Er det sammenfallende med det NSCS observerer?
NCSC observerer mye ondsinnet trafikk fra hele Internett, hvor mye kommer fra kjente TOR-noder.