CVSS-score på 10 på fejl i Apache logningsværktøj

Af Eskil Sørensen, 12/12/21

Systemadministratorer verden over er i alarmberedskab efter fundet af en alvorlig sårbarhed i Apache, som bl.a. bruges i applikationer og services, der er skrevet et programmeringssproget Java.

En lang række medier skriver her i weekenden om en alvorlig sårbarhed, der er fundet i Apache log4j, version 2.0 til 2.14.1, og som pt. udnyttes verden over til angreb på stort set alle enheder, der anvender produktet.  

Sårbarheden er døbt Log4Shell og dækker over det faktum, at den kan udnyttes meget let og giver adgang til ’remote code execution’, dvs. den kan anvendes til afvikling af kode udefra. Afvikling af kode betyder i korte træk, at eksterne trusselsaktører i praksis kan gøre, hvad de vil, når de først er inde: Låse systemer, læse filer og ændre i indholdet i filer. Og dermed fx også installere og skjule bagdøre- og botnet, som kan anvendes, når en anden lejlighed byder sig.

Sårbarheden har fået id’et CVE-2021-44228 og en score på 10 på CVSS-skalaen, hvilket er det højest mulige. En score på 10 gives sjældent, men når den er der, er den en udtryk for nem udnyttelse og høj impact.

Læs evt. om handlemuligheder her: https://cert.dk/da/news/2021-12-12/Log4shell-det-kan-du-goere

Logningsværktøj sårbart

Peter Kruse fra CSIS er i Jyllands-Posten citeret for at sige, at der findes Apache-software stort set over alt, hvor der er adgang til internettet, og at de færreste er dermed klar over, at log4j findes i deres enheder. log4j er et såkaldt trediepartsprodukt, et logningsværktøj, der er indlejret i en lang række andre softwareprodukter, som er skrevet i Java.

Ifølge en liste på GitHub, som Security Week henviser til, drejer det sig om så populære produkter som Apple, Twitter, Amazon, Tesla, Minecraft, VMware, Linkedin. Listen bliver løbende opdateret på https://github.com/YfryTchsG/Log4jAttackSurface.

Kamp om at nå sårbarheden først

Selve sårbarheden blev ifølge Security Week opdaget af Alibaba Cloud Security team og rapporteret til Apache den 24.11, men kun to uger senere blev der spottet udnyttelser, hvilket medførte udsendelse af en høj-prioritets patch fra Apache. Og nu hvor sårbarheden er blevet kendt verden over, bl.a. med en proof-of-concept code tilgængelig, er kampen mellem cyberkiminelles udnyttelser og systemadministratorers opdateringer for alvor gået i gang.

Dermed kommer betegnelsen 0-dagssårbarhed til sin ret. Systemadministratorer har 0 dage til at håndtere sårbarheden – de har nærmest mindre end 0 dage til opgaven, som er voldsomt belastende og som i bogstaveligste forstand udstiller den ulige kamp mellem personerne i frontlinjen. Alverdens cyberkriminelle skal kun finde ét sårbart system i en organisations systemlandskab, mens én systemadministrator skal opdatere alle, egne systemer for at vide sig sikker.

Links

https://www.securityweek.com/exploits-swirling-major-security-defect-apache-log4j

https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/

https://www.dr.dk/nyheder/seneste/dansk-erhverv-om-ny-it-sikkerhedsbrist-det-er-paa-linje-med-en-tsunami

https://jyllands-posten.dk/livsstil/digitalt/ECE13549297/internettet-braender-sikkerhedsbrist-i-udbredt-software-kan-ramme-millioner-af-virksomheder/   

Keywords: 
0-dagssårbarhed
Apache