Kritisk sårbarhed i Apache Log4j

Executive Summary

Der er opdaget en kritisk sårbarhed i Apache Log4j (CVE-2021-22448), som har fået den maksimale CVSS score på 10. Sårbarheden vurderes at være nem at udnytte, og Apache Log4j er desværre vidt udbredt.

Apache Log4j er en open source Java-baseret logging framework, som er brugt i mange Java applikationer, hvilket rammer produkter og systemer i cloud og on-prem.

Sårbarheden udnyttes ved at sende en special-konfigureret pakke til et system med Apache Log4j. Pakken instruerer systemet til at downloade og efterfølgende eksekvere ondsindet software.

Sårbarheden blev identificeret den 9. december, 2021, så den er meget ny, hvilket betyder, at der fortsat er mange systemer, som ikke er patchet eller har en tilgængelig patch. Der er mange producenter, som fortsat undersøger deres produkter for, hvorvidt de er sårbare eller ej.

Conscia vil opdatere vores kunder igennem CNS og på diverse sociale medier, så snart vi har nye informationer.

Hvad gør jeg nu?

Hold øje med advisories fra producenterne og Conscia

Producenterne arbejder på højtryk på at få undersøgt deres produkter og (hvis de viser sig at være sårbare) oprette og distribuere en patch mod Log4j. Conscia følger med og opdaterer jer gennem CNS og sociale medier.

Opdater din Apache Log4j

Vedligeholder du et system, som bruger Apache Log4j, bør du opdatere til den nyeste version af Log4j.

Opret en whiteliste af trafik mod internettet fra dine servere.

Hvis dine servere ikke kan hente den ondsindede software fra internettet, så vil dine servere ikke blive ramt af denne sårbarhed. Derfor bør man oprette regler i sin NGFW, Proxy eller Umbrella med en white-liste af trafik fra serverne mod legitime update servere (Windows update mm.) og eventuelt DNS, NTP mm., hvis dette ikke er lokalt hosted. Alt anden trafik bør blokeres.

Logning

Hold øje med loggen i din firewall, dit netværk og på dine servere i den kommende tid. Sårbarheden bliver udnyttet derude og alle angrebsflader er ikke nødvendigvis belyst endnu. Conscia kan også hjælpe med at holde øje med din log. Kontakt din account manager for mere information.

For Cisco kunder:

Til kunder med Cisco Firepower NGFW har Cisco released Snort 2 og Snort 3 regler, som kan detektere og blokere for angrebet. Du bør verificere, at reglerne er downloaded og deployed på din Firepower enhed.

’Talos is releasing Snort 2 SIDs 58722-58733 and Snort 3 SIDs: 300055-300057 to address CVE-2021-44228, an RCE vulnerability in the Apache Log4j API.’
Kilde: https://www.snort.org/advisories/talos-rules-2021-12-10

SSL decryption er nødvendig for at kunne detektere alle forsøg på udnyttelse af dette angreb. Hvis SSL decryption er umuligt, bør du oprette en white-liste af FQDN/URL’er fra dine servere imod internettet, så dine systemer ikke kan downloade den ondsindede software eller implementere Secure Endpoint/Umbrella.
Cisco Secure Endpoint (AMP for Endpoint) kan blokere for forsøg på udnyttelse af denne sårbarhed.
Cisco Umbrella kan blokere adgangen til ondsindede domæner, IP’er og URL’er.

Cisco har mange produkter, så de er fortsat ved at undersøge, hvilke af deres produkter der potentielt er sårbare. Cisco opdaterer nedenstående advisory omkring dine produkter.

Kilde: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd#vp

For Palo Alto kunder:

Kunder med Next-Generation Firewalls med en aktiv Threat Prevention security subscription kan detektere og blokere for sessioner med nedenstående Threat Ids:

91991 (initially released using Applications and Threat content update version 8498 and further enhanced with version 8499). Additionally, attacker infrastructure is continuously being monitored and blocked.

91994 and 91995 (released using Applications Threat content version 8500).

SSL decryption er nødvendig for at kunne detektere alle forsøg på udnyttelse af dette angreb. Hvis dette er umuligt, bør du oprette en white-liste af FQDN/URL’er fra dine servere imod internettet, så dine systemer ikke kan downloade den ondsindede software eller implementere Cortex XDR.

Cortex XDR er beskyttet gennem Behavioral Threat Protection (BTP) med undtagelse af Cortex på Linux, som er beskyttet af content-pakken 290-78377.
Cortex XSOAR-kunder kan udnytte “CVE-2021-44228 – Log4j RCE” pakken for at automatisk detektere og mitigere sårbarheden.
Prisma Cloud Compute Defender agents kan detektere continuous integration (CI) project, container image, or host system som vedligeholder en vulnerable Log4j pakke.

Kilde: https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Hvis du har yderligere spørgsmål, så kontakt Conscia og læs eventuelt tidligere blogposts:

Hvis du gerne vil vide mere, så læs videre her:
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Kritisk sårbarhed i Apache Log4j

Seneste nyheder

Julegaveidéer til en techie 2023

Fixed software frigivet af Cisco for CSCwh87343 (CVE-2023-20198)

Cisco har offentliggjort en kritisk sårbarhed, der påvirker deres IOS XE-operativsystem

Security markedsundersøgelse 2023

5 skarpe – Sanne Christensen

5 skarpe – Nicolaj Wichmann

5 skarpe – Jesper Revald

Julegaveidéer til en techie vol. 2

Executive Summary

Hvad gør jeg nu?

Hold øje med advisories fra producenterne og Conscia

Opdater din Apache Log4j

Opret en whiteliste af trafik mod internettet fra dine servere.

Logning

For Cisco kunder:

For Palo Alto kunder:

Hvis du har yderligere spørgsmål, så kontakt Conscia og læs eventuelt tidligere blogposts:

Hold dig opdateret

Relevant indhold om samme emne

Formiddagsbriefing hos Version2: Bæredygtig IT

Unlocking Security: Cisco and Conscia present the future of SSE and SASE

VR event på Khora

Cisco Live Las Vegas 2024