Et nylancereret POC = Proof-Of-Concept udnytter en kritisk zero-day sårbarhed i allestedsnærværende Apache Log4j Java-baserede logning bibliotek. Man kan i øjeblikket udnytte dette til at tilgå hjemmebrugere, det offentlige og virksomheder. Angrebet kan desværre benyttes til at køre vilkårlig kode. Det kræver ikke særlige rettigheder, men adgang sker på sekunder. Dette er et af de værst tænkelige sikkerhedshuller fordi enhver kan få administrator rettigheder og installere hvad det måtte være. Det kan udnyttes til Ransomware, Industri Spionage og sabotage af f.eks. forsyningsvirksomheder. Fejlen er sat til 10, som er det højeste indenfor CVE Management.
Sikkerhedshullet er den værste fejl i 10 år og vil have flere tragiske konsekvenser end noget andet sikkerhedshul. Alle bør tage dette som første prioritet, faktisk er der ikke noget der er vigtigere lige nu. Jeg bekymrer mig i særdeleshed om om hvor lang tid det vil tage før firmaer og det offentlige vil reagere. Så det handler om omgående undersøgelser. De største virksomheder der er berørt er f.eks. Apple, Facebook, Cloudflare, Amazon, Twitter, IBM, Minecraft, VMWare, Google og mange andre. Jeg gætter på 15 20% af DK’s største virksomheder er i farezonen på den ene eller anden måde.
Michael Rasmussen, ICARE.DK
Apache har udgivet Log4j 2.15.0 for at afhjælpe den maksimale sværhedsgrad CVE-2021-44228 RCE sårbarhed. Log4j biblioteket er udviklet af Apache Foundation og er meget udbredt af både virksomhedsapps, server hosting og cloud-tjenester. De fleste indenfor server hosting, webhoteller, APP hoteller, webshops m.v. er også berørt.
Mens hjemmebrugere kan have bevæget sig væk fra Java (selvom populære spil som Minecraft (som også blev ramt af sårbarheden) stadig bruger det), er alt fra virksomhedssoftware til webapps og produkter fra Apple, Amazon, Cloudflare, Twitter og Steam sårbare over for RCE udnyttelser der er fokuseret på denne sårbarhed. Linket er til Github og enhver kan bruge dette sikkerhedshul.
Her er en liste over berørte store virksomheder, men i praksis er alverdens systemadministratorer i panik grundet manglende overblik, eller har i weekenden lukket for sårbarheden. Såbarheden skønnes at berøre ca. 35% af alle services der involverer internet. Dette stiger til ca. 75% hvis man bruger Apache produkter.
| Producent | Noter | Verificeret |
|---|---|---|
| Apple | TRUE | |
| Tencent | TRUE | |
| Steam | TRUE | |
| TRUE | ||
| Baidu | TRUE | |
| DIDI | TRUE | |
| JD | TRUE | |
| NetEase | TRUE | |
| CloudFlare | TRUE | |
| Amazon | TRUE | |
| Tesla | TRUE | |
| Apache Solr | TRUE | |
| Apache Druid | TRUE | |
| Apache Flink | FALSE | |
| Apache Struts2 | TRUE | |
| flume | FALSE | |
| dubbo | FALSE | |
| IBM Qradar SIEM | TRUE | |
| PaloAlto Panorama | TRUE | |
| Redis | FALSE | |
| logstash | FALSE | |
| ElasticSearch | TRUE | |
| kafka | FALSE | |
| ghidra | TRUE | |
| ghidra server | TRUE | |
| Minecraft | TRUE | |
| PulseSecure | TRUE | |
| UniFi | TRUE | |
| VMWare | TRUE | |
| Blender | TRUE | |
| TRUE | ||
| Webex | TRUE | |
| TRUE | ||
| VMWarevCenter | TRUE | |
| Speed camera LOL | TRUE |
Milliarder af igangværende scanninger kører nu for udnyttelse af sårbare systemer
Fejlen, nu spores som CVE-2021-44228 og er døbt Log4Shell eller LogJam, er enikke-godkendt RCE sårbarhed tillader komplet system overtagelse på systemer med Log4j 2.0-beta9 op til 2.14.1.
Det blev rapporteret af Alibaba Cloud’s sikkerhedsteam til Apache den 24. november. De afslørede også, at CVE-2021-44228 påvirker standardkonfigurationer af flere Apache-rammer, herunder Apache Struts2, Apache Solr, Apache Druid, Apache Flink og andre.
Efter den første proof-of-concept udnytte blev offentliggjort på GitHub i går, er hackere begyndt at scanne internettet [1, 2] for systemer sårbare over for denne sikkerhedshulet, der ikke kræver godkendelse. Derudover har CERT NZ (New Zealands nationale Computer Emergency Response Team) udsendt en sikkerhedsmeddelelse advarsel. Nextron Systems ‘ head of Research Florian Roth har delt et sæt YARA regler for påvisning af CVE-2021-44228 udnyttelse forsøg.
Programrettelse og afhjælpning tilgængelig
- Fejlen kan også afhjælpes i tidligere versioner (2.10 og nyere) ved at angive en ny systemegenskab “log4j2.formatMsgNoLookups” til “true (ÆGTE)” eller fjerne klassen JndiLookup fra klassestien.
- Dem, der bruger biblioteket rådes til at opgradere til den nyeste udgivelse ASAP fordi angribere allerede søger efter udnyttelige mål.
- “På samme måde som andre højt profilerede sårbarheder som Heartbleed og Shellshock, vi mener, at der vil være et stigende antal sårbare produkter opdaget i de kommende uger,” sagde Randori Attack Team.
- “På grund af den lette udnyttelse og bredden af anvendelighed, vi har mistanke om ransomware aktører til at begynde at udnytte denne sårbarhed med det samme.”
- Sikkerhedsfirmaet Lunarsec understregede hvor nemt det er uden tilladelse af få fuld adgang til en server eller en hjemmearbejdsplads ved hjælp af CVE-2021-44228 RCE exploits. “Mange, mange tjenester er sårbare over for denne udnyttelse. Cloud-tjenester som Steam, Apple iCloud, og apps som Minecraft har allerede vist sig at være sårbare,” siger Lunarsec
- “Enhver, der bruger Apache Struts er sandsynligvis sårbar. Vi har set lignende sårbarheder, der blev udnyttet før i brud som Equifax-databruddet i 2017.”
- Fredag aften, sendte forskere fra cybersikkerhedet firma Cybereason en ‘vaccine’ pakke kaldet Logout4Shell, der udnytter en fjern sårbar Log4j server til at ændre en indstilling, der dermed afbøder sårbarheden.
- På den måde kan man som en hacker, lukke sikkerhedshullet og vi kan f.eks. herfra lukke sikkerhedshullet på få minutter. Derefter råder iCare til at scanne systemet for Ransomware eller spion udnyttelse.
- Cloudflare fortalte BleepingComputer, at dens systemer ikke er sårbare over for CVE-2021-44228 udnyttelse forsøg. “Vi reagerede hurtigt for at evaluere alle potentielle risikoområder og opdaterede vores software for at forhindre angreb og har ikke været i stand til at replikere eksterne påstande om, at vi måtte være i fare,” sagde Leigh Ann Acosta, Cloudflares PR direktør
Dermed er en katastrofe undgået, men vi skal nok se eksempler på Ransomware og ondsindet aktivitet de nærmeste dage, da stort set alle kriminelle er aktive på dette sikkerhedshul der kan udnyttes uden at man har specielle rettigheder.
Er du i tvivl om hvad du skal gøre så slog funktionen fra – se Apache links i toppen. Det er altid en god ide at sørge for en penetrationstest.
Kilde: Apache.org, Alibaba.com, Github.com og iCare.dk.
Fotokredit: Apache.org