Kritisk varsel ved Java i Apache Log4j2

Det er avdekket en kritisk sårbarhet ved Apache Log4j/Log4j2

Artikkelen er oppdatert: 20 desember kl 14:06

Sårbarheten gjelder for alle versjoner av Log4j mellom 2.0 og 2.14.1, sansynligheten for at en java applikasjon benytter seg av log4j er svært høy.

Sårbarheten er navngitt CVE-2021-44228. Evaluering er satt til 10.0 Critical 

Nær til alle java applikasjoner benytter seg av Log4j for internlogging, og Netsecurity anbefaler alle å gjennomgå sine instillinger for Log4j. Det er mulig å skru av logging, selv på versjoner mellom 2.0 og 2.14.1. Versjon 2.15.0 har logging skrudd av som standard instilling.

Tilsynelatende er JDK versjoner større gitt liste, ikke affekterte av LDAP angreps vektor.

1. 6u211
2. 7u201
3. 8u191
4. 11.0.1

I disse versjonene er com.sun.jndi.ldap.object.trustURLCodebase satt til false, som betyr at JNDI ikke kan laste ekstern codebase via LDAP.

Det er dog andre angreps vektorer enn LDAP, mye avhengig av kode som kjøres på den aktuelle server.  Vær særdeles oppmerksom på trafikk fra innside som går ut mot Internett på porter:

389","636","3269","3268"

Anbefalte tiltak er:

• Oppdater til Log4J2 versjon 2.15.0 2.17.0 eller senere. Om ikke oppgradering lar seg gjøre, se punkt Teknisk Mitigering og Isolering.
• Identifisering av Log4J komponenter. 
• Teknisk mitigering. Om ikke oppdatering er mulig, se følgende for mulig mitigerings plan:
  • Apache Log4J
  • RedHat CVE-2021-44228
  • Cloudflare Log4J2
• Isolering av applikasjon/tjeneste. Der ikke oppdatering eller teknisk mitigering er mulig, må det forsøkes å isloere tjeneste evt vurdere å ta tjenesten av nett.
• God brannmur regelsett har allerede reddet mange fra "callback", som kreves av sårbarheten. Avgrens systemer til å kun snakke med sine respektive mottakere/avsendere på definerte porter/protokoller/applikasjoner.

Vi anbefaler også å følge NSM sin samleside for Log4j: her.

Artikkelen er oppdatert: 20 desember kl 14:06