Log4Shell bliver i øjeblikket udnyttet som det værste sikkerhedshul i 10 år og er du sårbar er det bedre at slukke for servere m.v. nu.

By Michael RasmussenHacking, Industri Spionage, LOG4J, LOG4SHELL

BEMÆRK: Den fra APACHE udsendte patch fra ‘Log4J 2.15.0’ der skulle forhindrer hacking af sikkerhedshullet ‘Log4Shell’, indeholder mindst to nye sårbarheder i denne patch, og den ene af dem bliver i øjeblikket udnyttet til cyberangreb. Det skriver CLOUDFLARE. Du skal derfor installere version ‘2.16.0’ ASAP, da millioner af angreb sker mens dette skrives.

Vedr. Log4j skrev jeg, at det nok er “det værste sikkerhedshul i 10 år der vil have flere tragiske konsekvenser” Alle bør tage dette som første prioritet og lukke systemer eller blive hacket. Jeg bekymrer mig i særdeleshed om hvor lang tid det vil tage før firmaer og det offentlige vil reagere. Så det handler om omgående undersøgelser. De største virksomheder der er berørt er f.eks. Apple, Amazon, Akamai, Amazon, Twitter og Cloudflare. Der er tale om både tjenester, APPS og kendte software producenter af software vi alle benytter. Flere tusinde danske virksomheder er nødt til akut at tvangslukke for driften med denne fejl, indtil fejlen rettes og herefter bør alle handle som om de allerede er hacket”

siger sikkerhedsekspert Michael Rasmussen, ICARE.DK

Her er en liste med softwareprodukter der er berørt: https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Den omfattende angst for både Ransomware og Industri Spionage er til at tage at føle på, idet samtlige sikkerhedseksperter i hele verden er enige om farligheden, selvom mange af dem ikke kendte ordet Log4Shell for få dage siden.

For få dage siden vidste vi ikke hvad Log4Shell var

Flere eksperter over hele verden udtaler sig nu endnu mere og rigtigt dårligt om den Log4Shell nyhed vi bragte her. Eksperterne er i stigende omfang bekymret for samfundet, forsyningsvirksomheder, det offentlige og de mange Internet virksomheder. Bekymringen går på, at der er tale om et bibliotek i en integreret løsning og mange selv sikkerhedseksperter som os, vidste ikke at Log4Shell kunne udgøre en så stor risiko og det viser jo bare at forskningen, større findeløn, obligatorisk penetrationstest og brugen af Whitehack Hackere skal være mere attraktivt og være standarder der er med til at sikrer sig mod de milliardstore tab som mange industrier står overfor nu.

Sikkerhedsekspert udtalelelser i verdenspressen

Der findes ingen sikkerhedsfirmaer der ikke på det skarpeste advarer mod LOG4SHELL, mange af dem er førende sikkerhedsproducenter. Her er et par eksempler:

“Da vi begyndte at gennemføre vores beskyttelse, forhindrede VI over 1,272,000 forsøg på at fordele sårbarheden, over 46% af disse forsøg blev foretaget af kendte ondsindede grupper,” sagde cybersikkerhed selskabet Check Point.

“I modsætning til andre store cyber-angreb, der involverer en eller et begrænset antal software, er Log4j dybest set indlejret i alle Java-baserede produkter eller web-tjenester. Det er meget vanskeligt at manuelt afhjælpe det,”

Det skriver Check Point her til aften i et blogindlæg.

Jen Easterly, der er direktør for CISA i USA, beskrev Log4J sårbarhed  som “en af de mest alvorlige, at jeg har set i hele min karriere, hvis ikke den mest alvorlige”.

Imperva’s CTO Kunal Anand sagde, at siden udrulningen af opdaterede sikkerhedsregler for mere end 13 timer siden observerede virksomheden mere end 1,4 millioner angreb rettet mod CVE-2021-44228.

“Vi har observeret toppe nå omkring 280.000 angreb i timen. Som med andre CVEs i sin klasse, forventer vi at se dette antal vokse, især da nye varianter er skabt og opdaget i løbet af de kommende dage og uger,”

siger Anand.

Cybersikkerheds eksperter mener CVE-2021-44228, en fjern kode udførelse fejl i Log4j, vil tage måneder, hvis ikke år, at løse på grund af sin allestedsnærværende udbredelse og en meget nem udnyttelse. En af dem er Steve Povolny, der er leder af avanceret trussel forskning for McAfee Enterprise og FireEye. Han siger at Log4Shell

“nu fast hører til i samme kategori som Shellshock, Heartbleed, og EternalBlue.”

Steve Povolny, fra sikkerhedsfirma McAfeee der er ejet af Intel

“Angribere begyndte med næsten øjeblikkeligt at udnytte fejlen til ulovlig krypto minedrift, eller ved hjælp af legitime computing ressourcer på internettet til at generere cryptocurrency for økonomisk profit … Yderligere udnyttelse synes at have drejet i retning af tyveri af private oplysninger,” og “Vi forventer fuldt ud at se en udvikling af angreb.” og “Vi mener log4shell exploits vil vare i måneder, hvis ikke år fremover, med et betydeligt fald i løbet af de næste par dage og uger som patches, er i stigende grad rullet ud,” har Povolny sagt til ZDNet.

Povolny tilføjede, at sårbarhedens virkning kunne være enorm, fordi den er “ormelignende og kan bygges til at sprede sig selv.” Selv med en patch til rådighed, der er der snesevis versioner af den sårbare komponent. På grund af det store antal observerede angreb allerede nu, siger Povolny, at det er

“sikkert at antage, at mange organisationer allerede er blevet hacket” og bliver nødt til at træffe hændelsesresponsforanstaltninger.

Povolny til ZDNET

Siden december 9, har Sophos Senior Trusselsforsker Sean Gallagher sagt at angrebene ved hjælp af sårbarheden har udviklet sig fra miningbots herunder Kinsing minearbejder botnet – til en mere sofistikerede hacker indsats.

“Den seneste intelligens tyder angribere forsøger at udnytte sårbarheden til at afsløre de nøgler, der anvendes af Amazon Web Service konti. Der er også tegn på angribere forsøger at udnytte sårbarheden til at installere fjernadgang værktøjer i offer netværk, muligvis Cobalt Strike, et centralt værktøj i mange ransomware angreb,”

siger Sean Gallagher

Paul Ducklin, ledende forsker ved Sophos, tilføjede, at teknologier, herunder IPS, WAF og intelligent netværksfiltrering, alle

“hjælper med at bringe denne globale sårbarhed under kontrol.” og “Det allerbedste svar er helt klart: patch eller afbryd dine egne systemer lige nu,”

Paul Ducklin, Sophos

Dr. Richard Ford, CTO på Praetorian, forklarede, at fordi sårbarheden ofte ikke kræver godkendelse eller særlig adgang, truer den en utrolig vifte af systemer.

“en af de største eksponeringer man har set på internet skala.”
“Der er endda ubekræftede rapporter, der blot at ændre din telefons navn til en bestemt streng kan udnytte nogle online-systemer,”

Andre eksperter, der arbejdede i weekenden ser sårbarheden bliver udnyttet af hackere der øjeblikkeligt er gået i gang med at udnytte fejlen. Chris Evans, CISO hos HackerOne, sagde, at de har fået 692 rapporter om Log4j til 249 kundeprogrammer, idet de bemærker, at store virksomheder som Apple, Amazon, Twitter og Cloudflare alle har bekræftet, at de var sårbare.

“Denne sårbarhed er skræmmende for et par grunde: For det første er det virkelig nemt at udnytte; alt, hvad angriberen skal gøre, er at indsætte nogle specielle tekst i forskellige dele af et program og vente på resultater. For det andet er det svært at vide, hvad der er og ikke påvirkes; Sårbarheden er i et kernebibliotek, der er bundtet med mange andre softwarepakker, hvilket også gør afhjælpning mere kompliceret. For det tredje er det sandsynligt, at mange af dine tredjepartsleverandører er påvirket,” sagde Evans.

Log4jShell Løsninger

Log4j løsning: Som slutbruger er der ikke meget, du kan gøre andet end at undersøge om de tjenester du bruger er sikret, mange af de mest kendte er stadig ikke. Alle skytjenester bør straks opdatere Log4J. Men for små og store virksomheder er det desværre ikke så simpelt, fordi det er et bibliotek der anvendes af mange udviklere. Rådgivning fra Microsoft og Sophos er  her og  her.

Cyberreason har lavet en løsning der gør det nemt at forstår omfanget, den hedder “Logout4shell.” Den er gratis på Github, men man kan ikke bare være sikker på denne alene, opdateringer er nødvendige. Problemet er at det er JAVA og mange ikke ved så meget om JAVA bibilioteker. Men ihvertfald er det smart at løsningen bruger sikkerhedshullet selv til at slukke.

NCSC anbefaler følgende kvikfix her: recommendation at der opdateres til version 2.15.0 eller senere og hvis det ikke kan lade sig gøre, kan man sætte en begrænsning in i Log4j 2.10 ved at ændre system parameteren “log4j2.formatMsgNoLookups” til “true” ELLER at fjerne JndiLookup klassen helt.

De officielle godkendte løsninger er således her som catchup følgende:

  1. Opdater Log4j biblioteket til version 2.15
  2. Hvis det er absolut udelukket så sæt parameterflaget således: log4j2.formatMsgNoLookups=true
  3. Sæt miljøvariablen LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  4. fjerne klassen JndiLookup ved at skrive denne kommandolinie:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Kilde: er benævnt herover samt ICARE.DK
Fotokredit: Logo er hentet fra Apache Foundation

 

One thought on “Log4Shell bliver i øjeblikket udnyttet som det værste sikkerhedshul i 10 år og er du sårbar er det bedre at slukke for servere m.v. nu.

  1. Pingback: Ransomware har ramt Telia og Telenor – Ransomware, Kryptering, DeKryptering, Malware og Penetrationstest

Comments are closed.