Af Eskil Sørensen, 12/12/21
Apache har udsendt en patch til håndtering af Log4shell-sårbarheden. Patchet er i første omgang henvendt til producenter af enheder og softwareprodukter, der anvender log4j. Det betyder, at producenter af de pågældende produkter skal sikkerhedsopdatere og derefter udsende patches, som forbrugerne skal installere.
Der er imidlertid en mulighed for selv at mitigere risikoen for udnyttelse. Security Affairs skriver, at sikkerhedsvirksomheden Cybereason har udgivet et script, der fungerer som en ’vaccine’. Vaccinen gør det muligt eksternt at afhjælpe Log4Shell-sårbarheden ved at deaktivere ’trustURLCodebase’-indstillingen i sårbare forekomster af log4j-biblioteket.
Det fremgår videre, at den bedste afhjælpning af sårbarheden er at patche log4j til 2.15.0 og nyere, i Log4j version (>=2.10) kan denne adfærd afbødes ved at indstille systemegenskaben log4j2.formatMsgNoLookups til sand eller ved at fjerne JndiLookup-klassen fra klassestien. Derudover, hvis serveren har Java runtimes >= 8u121, er indstillingerne com.sun.jndi.rmi.object.trustURLCodebase og com.sun.jndi.cosnaming.object.trustURLCodebase som standard sat til "false”.
Aktivering af disse systemegenskaber kræver adgang til de sårbare servere samt at serverne skal genstartes.
Yderligere vejledning til håndtering af sårbarheden findes på GitHub, hvorfra der også er publiceret et værktøj til detektion af, om log4j-værktøjet er blevet udnyttet i et system.
Det anbefales også at køre alle systemer og tjenester, herunder adgang til internettet, som en ikke-privilegeret bruger, dvs. en bruger uden administrative rettigheder. Dette for at mindske virkningerne af et vellykket angreb.
DKCERT har udsendt advarsel til om sårbarheden til sikkerhedskontaktpersoner ved Forskningsnettet.
Opdateret kl. 15.33
Center for cybersikkerhed har ligeledes sendt et varsel ud med en række handlemuligheder til begræsning af sårbarheden. Varslet kan læses på CFCS' hjemmeside: https://www.cfcs.dk/da/handelser/varsler/opsamling-pa-log4j/
Links:
https://securityaffairs.co/wordpress/125512/hacking/logout4shell-vaccine-log4j-flaw.html
https://logging.apache.org/log4j/2.x/security.html?spm=a2c4g.11174386.n2.5.56b74c07Zg3Nh7