Log4j: Stadig fare for udnyttelse

Microsoft har opdateret sin advarsel om Log4j-sårbarheden.

Microsoft har i denne uge advaret organisationer mod den trussel, som sårbarhederne i Apache Log4j-logningsrammerne udgør. Det skriver Dark Reading.

Log4j-sårbarheden har fået navnet Log4Shell og blev kendt verden over i december, dels pga. den store udbredelse i programmer og systemer, dels pga. den høje sandsynlighed for og konsekvens ved udnyttelse. Sårbarheden er simpelthen nemt at udnytte, og mulighederne for ondsindet aktivitet er mange.

Apache Log4j er en meget brugt open source-logningskomponent, der er til stede i næsten alle miljøer, hvor en Java-app bruges. Dette omfatter internetvendte servere, backend-systemer og netværkskomponenter, tredjepartsapplikationer, tjenester, der bruger disse applikationer, i skymiljøer og i industrielle kontrolsystemer og SCADA-systemer.

Selv om de fleste systemadministratorer givetvis er opmærksomme på sårbarheden, så har Microsoft fundet anledning til at udsende en advarsel, efter at der i sidste uge af december er blevet observeret en stor mængde scanningsaktivitet og udnyttelsesforsøg rettet mod fejlene.

Det fremgår af Dark Reading, at mange angrebsgrupper – herunder nationalstatsaktører og ransomware-grupper – er begyndt at udnytte sårbarhederne til at bl.a. etablere reverse shells og installere værktøjer til remote code execution på sårbare systemer. Microsoft har bl.a. set Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike og PowerShell blive implementeret via Log4j-fejlene.

Kode bredt udbredt

Microsoft skriver i sin opdatering til en blog, der oprindeligt blev udsendt 11. december, at kunderne bør antage at der er en ’bred tilgængelighed af udnyttelseskode og scanningsfunktioner’ og at det er en ’reel og fare for deres miljøer’ og tilføjer, at organisationer måske ikke er klar over, at deres miljøer allerede kan være kompromitteret.

Microsoft og adskillige andre sikkerhedseksperter har opfordret organisationer til at implementere scanningsværktøjer og scripts for at identificere Log4j-sårbarheder i deres miljø. Men på grund af den måde, Java fungerer på, kan sårbarheden være begravet flere lag dybt i applikationer og derfor ikke så let at komme til syne for scannere.

Med kendskab til det generelle trusselsbillede, som Center for Cybersikkerhed bl.a. skriver sine vurderinger på baggrund af, anbefaler DKCERT, at organisationer sikrer sig, at de ikke er sårbare over for udnyttelse.  

Links:

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https://www.darkreading.com/application-security/attackers-using-log4j-flaws-in-hands-on-keyboard-attacks-to-drop-reverse-shells