Allvarlig sårbarhet i loggbiblioteket Apache Log4j

Publicerad 2021-12-14 | Författare Christoffer Widjeback

I fredags upptäcktes en allvarlig brist i det välanvända loggbiblioteket Apache Log4j. Sårbarheten går under namnet Log4shell och kan utnyttjas via fjärrprotokoll för att köra skadlig kod på den resurs där biblioteket finns. Och just nu pågår det full aktivitet där ute – både hos de som försöker åtgärda problemet samt de som försöker utnyttja det.

Vad är Log4j

Log4j är en mycket välanvänd loggningsfunktion världen över för programmeringsspråket Java. Funktionen används för att logga exempelvis händelser och samla information från en webbsida som i sin tur sedan kan användas för bl.a. felsökning. Givet den stora utbredningen och sammanhanget så är det mycket information som strömmar genom denna typ av tjänst.

Vilken är sårbarheten och hur kan den utnyttjas

För att den stora datamängden loggad av Log4j skall kunna sparas ned och arkiveras effektivt, så sker viss konsolidering och strukturering av data innan arkiveringen sker. Detta görs genom att Log4j letar efter mönster och sätter data i sammanhang. Det är här sårbarheten finns. Genom anrop till servern som Log4j körs på så kan mönster manipuleras och få servern att agera på ett sätt som det inte är tänkt. Mer specifikt – instruera servern att ladda ner resurser som sedan gör det möjligt att köra skadlig kod på servern eller på annat sätt ställa till oreda. Vi har exempelvis sett exempel på försök till att starta crypto-mining på servern samt även nyttja sårbarheten till att försöka komma åt Active Directory/katalogtjänst.

Den stora problematiken som gör sårbarheten kritisk är den vida utbredningen av Log4j samt att sårbarheten är relativt lätt att utnyttja. Egentligen krävs det ingen kännedom om målet. Och profilen på angripare kan vara både statliga aktörer och kriminella organisationer som riktar in sig på specifika organisationer, men även enskilda hobbyhackers som testar att spraya skadlig kod över hela internet och hoppas på det bästa.

Mer detaljerad information om sårbarheten finns här CVE-2021-44228

Vad kan man göra åt det

Först och främst behöver man veta var Log4j finns. Det kan vara ett utmanade arbete i sig om man har en stor IT-miljö. Sedan så behöver patchning genomföras på berörda resurser. Vi rekommenderar också att man försöker utreda om sårbarheten faktiskt har utnyttjats för att säkerställa att det inte kan leda till en incident.

Kontakta oss om ni vill ha hjälp eller mer detaljerad information!

Kontakt
info@promobility.se
Dizparc Secured AB (fd. Promobility AB)
Drottninggatan 21
652 25 Karlstad
Facebook
LinkedIn

Promobility är en IT-partner inom modern infrastruktur, digital säkerhet och applikationsutveckling. Vi arbetar med teknisk och strategisk rådgivning inom modern klienthantering (MDM, EMM, UEM), offensiv, defensiv och strategisk cybersäkerhet samt iOS och Android-utveckling m.m. Vi är baserade i Karlstad men arbetar över hela Sverige och Skandinavien.

Integritetspolicy

© Copyright 2023 Promobility