Af Eskil Sørensen, 23/11/22
Sådan lyder advarslen fra CISA og FBI til de organisationer, der endnu ikke har rettet Log4j-sårbarheden. Det skriver ZDNet med henvisning til en ’current acitivity’-meddelelse på CISAs hjemmeside.
Advarslen kommer, efter at der er opdaget et cyberangreb mod en føderal enhed i USA, hvor angribere trængte ind i netværket ved at udnytte netop Log4j-sårbarheden på en VMware Horizon-server. Angrebet kom ifølge CISA fra en iransk statssponseret APT-gruppe, og det medførte installation af malware til udvinding af kryptovaluta og tyveri af brugernavne og adgangskoder.
10/10
Log4j blev i sin tid kendt verden over for et lille års tid siden og af flere eksperter vurderet til at være en af de mest alvorlige sårbarheder – ikke mindst fordi den findes i det meget udbredte Java-logbibliotek Apache Log4j, og fordi et succesfuldt angreb giver angribere mulighed for at fjernafvikle kode og få adgang til maskiner. Sårbarheden har id-nummeret CVE-2021-44228 og en score på 10 ud af 10 mulige. Den er også på KEV-listen – dvs. CISAs liste over kendte udnyttede sårbarheder – som i sin tid gav føderale enheder i USA 14 dage til at håndtere sårbarheden.
Sårbarheden er særligt kritisk, fordi Apache Log4j er indlejret i en bred vifte af applikationer, tjenester og virksomhedssoftwareværktøjer, der er skrevet i Java og brugt af organisationer over hele verden. Så den kompromitterede føderale enhed, der ikke havde fået patchet og nu er kompromitteret, er næppe en enlig svale.
Derfor har CISA og FBI i fællesskab advaret organisationer med berørte VMware-systemer, der ikke har overholdt deadlinen på KEV-listen. Advarslen peger også på, at organisationer, der opdager en evt. kompromittering som følge af Log4j, skal antage ’lateral movement’. Det betyder, at kompromitteringen antageligvis har medført, at angribere har bevæget sig rundt i evt. forbundne systemer og ændret i konti med høje privilegier.
Anbefaling
CISA og FBI opfordrer alle – uanset om de har fundet tegn på at være blevet kompromitteret eller ej – til at opdatere berørte VMware Horizon og unified access gateway-systemer og al anden software til den nyeste version. Desuden anbefales det, at adgangskontrollen er på plads, bl.a. ved brug af stærke adgangskoder og multi-faktorautentifikation.
Det anbefales også, at organisationer tester deres sikkerhedskontroller, især i forhold til de taktikker, teknikker og procedurer (TTP'er), der bruges af Log4j-angribere.
CISA har konkluderet, at den ondsindede cyberaktivitet, der misbruger Log4j, i dette tilfælde blev udført af en APT-gruppe, der arbejdede på vegne af den iranske regering.