Varsel om aktiv utnyttelse av kritisk sårbarhet – Apache Log4j RCE - CVE-2021-44228

Den kritiske Apache Log4J-sårbarheten er mye omtalt og har blitt plukket opp av trusselaktører. Her følger en kort oversikt og våre anbefalinger.

Om sårbarheten

Apache Log4j er et populært Java basert logg-bibliotek som brukes av en lang rekke applikasjoner. Den 09.12.2021 ble det oppdaget en svært alvorlig RCE (Remote Code Execution)-sårbarhet (CVE2021-2041-44228) i versjonene 2.0 til 2.14.1 til biblioteket.

Sårbarheten er enkel å utnytte og gir potensielt full kontroll over berørte systemer. Watchcom har allerede observert forsøk på utnyttelse av denne sårbarheten hos våre kunder (og våre SOC-kunder er allerede varslet), og NSM har gjennom sitt sensornettverk også observert utnyttelsesforsøk mot en rekke norske virksomheter.

Er din virksomhet påvirket?

Siden Log4j er et bibliotek som brukes av svært mange ulike applikasjoner, kan det være vanskelig for virksomheter å vite at de er eksponert for sårbarheten. En mulig tilnærming kan være å sjekke om applikasjonen er Java-basert og krever Java for installasjon.

Flere leverandører har kommet med uttalelse om deres applikasjoner er berørt eller ikke. En oversikt over disse finnes på GitHub.

Om du er usikker på om din virksomhet er påvirket kan du kontakte Watchcom for bistand. Både for å avdekke om  virksomheten er eksponert for sårbarheten eller om du trenger bistand ved en hendelse. 

Hva bør din virksomhet gjøre nå?

Watchcom anbefaler å følge NSMs tiltak for å håndtere denne sårbarheten. Fra NSMs nettsider:

Berørte virksomheter bør umiddelbart oppdatere Log4j til versjon 2.15.0, som er tilgjengelig på Apaches nettside. NCSC er derimot kjent med at sikkerhetsoppdatering kan være utfordrende, da det i mange tilfeller vil være tredjepart som må oppdatere Log4J og ikke virksomheten selv.

Dersom sikkerhetsoppdatering ikke enkelt lar seg gjennomføre bør virksomheter ta aktuelle tjenester av nett, eller skru av Log4j frem til en varig løsning foreligger.

Utover å oppdatere kan man også skru av logging ved å sette parameteret log4j2.formatMsgNoLookups til "true":

- - formatMsgNoLookups = true [1]

Vi [NSM] understreker at dette siste tiltaket bare vil være relevant for versjoner fra 2.10 og nyere. For versjoner fra og med 2.15.0 er denne parameterjusteringen allerede forhåndsinnstilt.

Kilder og mer informasjon

https://logging.apache.org/log4j/2.x/security.html

https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-omfattende-utnyttelsesforsok-av-kritisk-sarbarhet-i-apache-log4j

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/