Utvidet oppdatering for Apache log4j CVE-2021-44228

Publisert: 11.12.2021

Oppdatert: 11.12.2021

Her følger oppdatering til våre tidligere varsler rundt sårbarheten CVE-2021-44228 i Apache Log4j¹,²,³.

NCSC har fra 10. desember og gjennom dagen 11. desember observert omfattende utnyttelsesforsøk gjennom VDI, og fått rapporter om tilsvarende fra samarbeidspartnere nasjonalt og internasjonalt.

Sårbarheten vurderes stadig som særlig kritisk da den i prinsippet berører alt som er integrert mot og logges av Log4j, hvilket omfatter et foreløpig uavklart, men likevel stort antall utbredte tjenester.

Apache publiserte 10.desember versjon 2.15.0 av log4j, som tidligere var henvist til som versjon 2.15.0-rc2. Dette betyr at 2.15.0 og 2.15.0-rc2 i utgangspunktet er like, og at begge adresserer sårbarheten⁴,⁸. Vi anbefaler systemeiere å oppdatere sine systemer til 2.15.0 så raskt det lar seg gjøre.

NCSC vil gjøre oppmerksom på at den nyeste, patchede versjonen (2.15.0) av log4j, i likhet med alle versjoner over 2.12.1, krever Java 8. Dette betyr at virksomheter som ønsker å oppdatere biblioteket potensielt også må oppdatere sin Java-versjon om dette ikke allerede er gjort⁴,⁵.

Merk at Java versjon 8u121 (lansert 2017-01-17) har ekstra sikkerhetsmekanismer som standard for å minske faren for fjerneksekvering av kode⁵. Innstillingene som styrer dette er satt til `false` som standard i Java versjon 8u121 og senere:

com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase

Dersom disse sikkerhetsmekanismene manuelt er skrudd av er man sårbar.

I følge skaperen av log4j skal ikke versjon 1.x være sårbar, men det er viktig å merke seg at denne ikke har vært vedlikeholdt siden 2015 og inneholder flere andre sårbarheter⁶,⁷.

NCSC vil sende ut oppdatert informasjon fortløpende og vi ønsker å vise til vårt tidligere varsel for ytterligere vurderinger og tiltak³.

NCSC er tilgjengelig 24/7 på 02497 og [email protected]

Referanser:

¹[NCSC-NO#21375915] [TLP:HVIT][NCSC-varsel] Kritisk sårbarhet i Apache Log4j

²[NCSC-NO#21551146] [TLP:HVIT][NCSC-Varsel] Oppdatert varsel for kritisk sårbarhet i Apache Log4j2

³[NCSC-NO#21429282][NCSC-varsel] VIKTIG - Oppdatering: Kritisk sårbarhet i Apache Log4j

⁴https://logging.apache.org/log4j/2.x/download.html

⁵https://www.oracle.com/java/technologies/javase/8u121-relnotes.html

⁶https://twitter.com/ceki/status/1469696174537990150

⁷http://slf4j.org/log4shell.html

⁸https://github.com/apache/logging-log4j2/tags