Gratis Log4J scannere til test af LOG4SHELL sikkerhedshullet

Vi har prøvet at lave en komplet liste (nye kommer til hver time) over scanner, web eller runtime systemer til at detektere en af de værste sikkerhedshuller i mands minde nemlig Apaches LOG4SHELL.

Sikkerhedshullet er under aktiv udnyttelse blandt hackere at vi anbefaler at slukke for systemer og patche til den seneste version 2.3.2, og dernæst lave indgående tests og penetrationstests, fordi der kan være installeret f.eks. Ransomware eller overvågningssoftware, bots og bitcoin mining bot software på systemer der ikke er undersøgt. Bemærk at siden der er stærk fokus på disse patches er der allerede opdaget flere andre sikkerhedshuller der altså lukkes (foreløbigt) med version 2.3.4. Vi skrev tidligere om LOG4J her.

Opdag LOG4J sikkerhedshullet med vor guide

Vi har lavet en liste over eksterne værktøjer på Internettet som er gratis at anvende og som er meget stærke løsninger til at finde ud af om du er sårbar. Mange systemer indenfor Linux og Unix anvender imidlertid LOG4J modulet som er det mest perfekte til logfiler, men det er altså i denne at der er flere sårbarheder. I 2.16 opdateringen opdagde man at denne var sårbar for bl.a. DDOS, så der blev hurtigt lavet en 2.3.2 patch hos Apache her: https://logging.apache.org/log4j/2.x/security.html

Her er en liste over Log4J sårbarhed scanner værktøjer fra tredjeparts software virksomheder (sorteret alfabetisk). Det er eksterne links og uden ansvar fra vor side, men vi kender alle nedenstående aktører:

  • 1. Amazon Inspector og AWS:   Amazon Inspector har identificeret eksistensen af denne sårbarhed i din Amazon EC2 instans. Men denne var tillige i Amazon Elastic Container Registry Images (Amazon ECR), ifølge Amazon og andre forskere. Med den nye Amazon Inspector, scanning er automatiseret og løbende, selskabet sagde. Løbende scanning er drevet af begivenheder såsom nye softwarepakker, nye forekomster, og nye fælles sårbarhed og eksponering (CVEs) bliver offentliggjort.
  • 2. Arctic Wolf  var en af de første til at gøre et Log4Shell Deep Scan-værktøj offentligt tilgængeligt på GitHub. Log4Shell Deep Scan gør det muligt at registrere både CVE-2021-45046 og CVE-2021-44228 i indlejrede JAR-filer samt WAR- og EAR-filer.
  • 3. Bi.Zone  udviklede en scanner, der bruger YARA-regler. Værktøjet, der nu er installeret på GitHub, scanner hukommelsen af Java-processer for Log4j-signaturer. Scanneren fungerer direkte på værten i stedet for via internettet. Scanningsoutputtet er en liste over værter, der indeholder programmer med Log4j, som gør det muligt for MSP’er og brugere personligt at kontrollere, om biblioteksversionen er sårbar.
  • Hvis det viser sig at være sårbart, vil bi. ZONE WAF cloud service hjælpe dig med at beskytte mod eksterne angreb ved hjælp af Log4j. Det vil ikke fjerne behovet for at installere patches, men det vil mindske risikoen for en vellykket Log4Shell udnyttelse. Dette bør dog alene benyttes som en midlertidig foranstaltning, man skal stadig penetrationsteste og scanner for enhver malware på klienter og servere bagefter en fuldstændig patch.
  • 4. Binary Defense:  Randy Pargman, er VP på Binary Defense. Han har udviklet dette open source værktøj. Pargman beskrev også, hvorfor han udviklede værktøjet i en LinkedIn-opdatering.
  • 5. CISA: Cybersecurity and Infrastructure Security Agency (USA’s officielle CERT) har ændret en Log4J scanner skabt af sikkerhedsfirmaet FullHunt  og fik hjælp fra andre forskere som Philipp Klaus og Moritz Bechler.

    Log4j Vejledning fra CISA: Her opdateres regelmæssigt  Log4j sårbarhedsreduktion vejledning fra CISA  (Cybersecurity and Infrastructure Security Agency).
  • 6. CrowdStrike: Virksomheden udgav tidligt en gratis Log4J scanner kaldet  CrowdStrike Archive Scan Tool  (CAST).
  • 7. CyberCNS: Virksomhedens sårbarhedsscanner understøtter registrering af Log4j-sårbarheden, ifølge en CyberCNS-hjemmesidemeddelelse. Nogle MSP’er kører CyberCNS Vulnerability Manager for at hjælpe små virksomheder med at opfylde lovgivningsmæssige rammer og overholdelsesrammer, siger virksomheden.
  • 8. Datto,  MSP software, backup system og teknologi udbyder, har skabt  Log4Shell Optælling, Mitigation og Attack Detection Tool til Windows og Linux. Værktøjet downloader og udfører de  nyeste detektionsmetoder  udgivet af  Florian Roth.
  • 9. F-Secure:  Virksomhedens F-Secure Elements Sårbarhed Management platform giver MSP’er og MSP’er til at identificere Log4j sårbarheder.
  • 10. Huntress:  MDR-udbyderen til MSP’er og MSP’er introducerede denne  Log4Shell-sårbarhedstester.
  • 11. Liongard:  Automatiseringssoftwarefirmaet, der fokuserede på MSP’er, udgav en  Log4j-revisionsrapport inden for Liongard-platformen for at gøre det nemt for partnere at se, hvordan Log4j-sårbarhederne påvirker deres kunder og deres systemer, Liongard til MSSP ALert.
  • 12. Microsoft Defender til Endpoint: Microsoft har opdateret funktionerne Trussels- og sårbarhedsstyring i Microsoft Defender til slutpunktet til overfladelog4j-bibliotekskomponenter, der er sårbare over for  CVE-2021-44228. Disse funktioner opdager automatisk sårbare Log4j-biblioteker i produkter og tjenester, der er installeret på Windows-klienter og Windows-servere.
  • 13. Qualys  gør sin  WAS-løsning (Web Application Scanning)  gratis tilgængelig i 30 dage fra den 17. december 2021. Værktøjet kan scanne webprogrammer og API’er for sikkerhedsrisikoen Log4Shell (CVE-2021-44228), Qualys inkluderet.
  • 14. Sonatye:  Forsyningskæden software sikkerhedsfirma siger sin Nexus Open Source Sårbarhed Scanner giver partnere mulighed for at få øje på Log4j sårbarhed.
  • 15. Tanium:  Softwareplatformen gør det muligt for MSP’er at finde og afhjælpe sårbarheden. En gratis Tanium retssag er her,og en hurtig video oversigt er her.
  • 16. Holdbar: Virksomheden har udgivet scanningsskabeloner til Tenable.io, Tenable.sc, Tenable.io WAS og Nessus Professional, som er konfigureret til at tillade hurtig scanning for denne sårbarhed.” Dashboards er også tilgængelige i Tenable.io og Tenable.sc.
  • 17. Trend Micro Log4j Sårbarhedstester:  Dette webbaserede værktøj kan hjælpe med at identificere serverprogrammer, der kan blive påvirket af sårbarheden Log4Shell (CVE-2021-44228, CVE-2021-45046).
  • 18. Fullhunt.io har lavet en løsning på Github med 16 aktører. Den er baseret på Python med Docker Support. https://github.com/fullhunt/log4j-scan. Løsningen ligger angiveligt som en webside som angivet i første ord.

Kilde: ICARE.DK og ovenstående.
Fotokredit: Apache og ICARE.DK

Scroll til toppen