Så alvorlig er Log4j-sårbarheten og slik finner du ut om du er berørt

I løpet av de siste dagene har sikkerhetsteam over hele verden kjempet mot klokken for å redusere konsekvensene av den nylig oppdagede sårbarheten i det populære loggingssystemet til Apache, Log4j, også omtalt som Log4Shell.

Sårbarheten har blitt utnyttet til det fulle flere steder i verden, også her til lands, hvor både Altinn og Brønnøysundsregistrene har blitt berørt. La oss forklare deg hvordan cyberangrep mot Log4j-sårbarheten fungerer og hva du og din organisasjon bør gjøre.

Det blir ikke verre enn det her

Ikke alle ulykker er like ille. Det gjelder også cyberangrep og sårbarheter. I dette tilfellet blir det derimot ikke verre. Feilen og sårbarheten har fått 10 av 10 på industristandarden CVSS (Common Vulnerability Scoring System) sitt skåringssystem. Lurer du på hvorfor, så er svaret at årsakene er mange og sammensatte:

• Log4j benyttes av millioner av Java-applikasjoner, fra mindre kjente bedriftsapplikasjoner til større programvareplattformer og blant større virksomheter, som for eksempel Apple iCloud, Cloudflare, Minecraft, Red Hat, IBM, Stream, Tesla og Cisco.
• Det er relativt enkelt å utnytte den underliggende sårbarheten relatert til feilaktig validering av hva som blir logget. Det krever at en cyberkriminell tvinger et sårbart program å logge en bestemt rekke av tegn og bokstaver. Som en konsekvens av at programmer loggfører mange forskjellige typer av hendelser, er det også forskjellige måter å utføre denne loggingen på. Én måte kan være så enkelt som å skrive en melding i en dialogboks.
• Utnyttelse av denne sårbarheten kan føre til ekstern kjøring av programvarekode på en berørt server. Det gjør det blant annet mulig for cyberkriminelle å laste ned skadelig programvare for å igangsette et større angrep.
• Cyberkriminelle er konstant på jakt etter sårbarheter som dem kan utnytte til egen vinning.

Så langt har flere cyberkriminelle blitt oppdaget i forsøk på å utnytte sårbarheten i Log4j. Mens enkelte har forsøkt å installere programvare som utvinner kryptovaluta, har andre jobbet for å avsløre AWS-nøkler, distribuere Cobalt Strike for løsepengevirus og mye mer.

Så hva gjør du nå?

Norges nasjonale cybersikkerhetssenter (NCSC) anbefaler berørte virksomheter om umiddelbart oppdatere Log4j.

Det er blant annet viktig å finne ut hvor Log4j kjøres i ditt miljø. Deretter bør du umiddelbart oppgradere Log4j til versjon 2.15.0. Skaff deg i tillegg en fullstendig oversikt over alle enheter som er tilrettelagt for ekstern tilgang og som har Log4j installert. Påse at cybersikkerhetsteamet er i stand til å reagere på kort varsel. For å redusere belastningen på cybersikkerhetsteamet, er det fornuftig å installere en webapplikasjonsbrannmur med regler som oppdateres automatisk.

Test selv om du har blitt påvirket

Med Trend Micro sitt Log4j-sårbarhetsverktøy kan du også sjekke om dine server-applikasjoner har blitt påvirket. Verktøyet lar deg generere en forespørsel som du kan kjøre i ditt miljø for å teste om serveren er sårbar.

https://log4j-tester.trendmicro.com/

Løpende oppdateringer om Log4j-sårbarheten kan du også lese på Trend Micro sine nettsider her.

Fotograf: Hack Capital/Unsplash