Kritisk sårbarhet i Apache Log4j

En kritisk sårbarhet er oppdaget i Apache Log4j (CVE-2021-22448), som har en maksimal CVSS-score på 10. Sårbarheten anses å være lett å utnytte, og dessverre er Apache log4j utbredt.

Apache Log4j er et open-source Java-basert logging framework som brukes i mange Java-applikasjoner og påvirker produkter og systemer i skyen og på stedet.

Sårbarheten utnyttes ved å sende en spesialkonfigurert pakke til et system med Apache Log4j. Pakken instruerer systemet til å laste ned og deretter kjøre skadelig programvare.

Sårbarheten ble identifisert 9. desember 2021, så den er veldig ny, noe som betyr at det fortsatt er mange systemer som ikke er patchet eller har en tilgjengelig oppdatering. Det er mange produsenter som fortsetter å undersøke produktene sine for mulige sårbarheter.

Conscia vil oppdatere våre kunder gjennom CNS og på ulike sosiale medier så snart vi har ny informasjon.

Les også hvilke tiltak vår SOC anbefaler

Hva gjør jeg nå?

 

Hold øye med råd fra produsentene og Conscia
Produsentene jobber hardt for å få testet produktene sine og (hvis de viser seg å være sårbare) opprette og distribuere en patch mot Log4j. Conscia følger og oppdaterer deg gjennom CNS og sosiale medier.

Oppdater Apache Log4j
Hvis du vedlikeholder et system som bruker Apache Log4j, bør du oppdatere til siste versjon av Log4j.

Lag en whitelist over Internett-trafikk fra serverne dine.
Hvis serverne dine ikke kan laste ned den skadelige programvaren fra Internett, vil ikke serverne dine bli påvirket av dette sikkerhetsproblemet. Derfor bør man lage regler i sin NGFW, Proxy eller Umbrella med en whitelist over trafikk fra serverne mot legitime oppdateringsservere (Windows update etc.) og evt. DNS, NTP etc. dersom dette ikke hostes lokalt. All annen trafikk bør sperres.

For Cisco-kunder:

  • For kunder med Cisco Firepower NGFW har Cisco gitt ut Snort 2- og Snort 3-regler som kan oppdage og blokkere angrepet. Du bør bekrefte at reglene er lastet ned og distribuert på Firepower-enheten din.
    ‘Talos slipper Snort 2 SID-er 58722-58733 og Snort 3 SID-er: 300055-300057 for å adressere CVE-2021-44228, en RCE-sårbarhet i Apache Log4j API.’.
    Kilde: https://www.snort.org/advisories/talos-rules-2021-12-10
  • SSL-dekryptering er nødvendig for å oppdage alle forsøk på å utnytte dette angrepet. Hvis SSL-dekryptering er umulig, bør du opprette en whitelist over FQDN-er/URL-er fra serverne dine mot Internett, slik at systemene dine ikke kan laste ned den skadelige programvaren eller implementere Secure Endpoint / Umbrella.
  • Cisco Secure Endpoint (AMP for Endpoint) kan blokkere forsøk på å utnytte dette sikkerhetsproblemet.
  • Cisco Umbrella kan blokkere tilgang til ondsinnede domener, IP-er og URL-er.

Cisco har mange produkter, så de undersøker fortsatt hvilke av produktene deres som er potensielt sårbare. Cisco oppdaterer følgende råd om produktene dine. Kilde: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd#vp

For Palo Alto-kunder:

  • Kunder med neste generasjons brannmurer med et aktivt Threat Prevention-sikkerhetsabonnement kan oppdage og blokkere økter med følgende trussel-IDer:

91991 (initially released using Applications and Threat content update version 8498 and further enhanced with version 8499). Additionally, attacker infrastructure is continuously being monitored and blocked.

91994 and 91995 (released using Applications Threat content version 8500).

SSL-dekryptering er nødvendig for å oppdage alle forsøk på å utnytte dette angrepet. Hvis dette ikke er mulig, bør du opprette en whitelist over FQDN-er/URL-er fra Internett-serverne dine slik at systemene dine ikke kan laste ned den skadelige programvaren eller implementere Cortex XDR.

  • Cortex XDR er beskyttet gjennom Behavioral Threat Protection (BTP) med unntak av Cortex på Linux, som er beskyttet av innholdspakken 290-78377.
  • Cortex XSOAR-kunder kan dra nytte av «CVE-2021-44228 – Log4j RCE»-pakken for automatisk å oppdage og redusere sårbarheten.
  • Prisma Cloud Compute Defender-agenter kan oppdage kontinuerlig integrasjon (CI)-prosjekt, containerbilde eller vertssystem som opprettholder en sårbar Log4j-pakke.

Kilde: https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Vil du vite mer, les videre her:
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/

Conscia leverer SOC-tjenester og tilbyr nå en «Emergency MDR»-tjeneste til våre kunder, hvor vi raskt (innen en dag) onboarder deres eksponerte servere til vår SOC via Microsoft Defender for Endpoint, for å forhindre/oppdage og svare på Log4j (og alt annet selvfølgelig). Ønsker du å vite mer?

 

Ta kontakt med oss

Kontakt
Ta kontakt med Conscias eksperter