Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell.
Vad är då log4shell och varför är det en så allvarlig sårbarhet?
Log4shell är namnet på själva attacken, sårbarheten ligger i ett loggningsbibiliotek, log4j (utvecklat av Apache), som används som logmodul i många Java applikationer. Då biblioteket används i många installationer finns det väldigt många sårbara system att patcha.
Förutom att det finns många publika web-servrar som är sårbara, används även Java applicationer för många interna system och många av våra IT tillverkare har baserat sina verktyg på dessa tekniker.
Mer om sårbarheten kan man hitta i CVEs databas: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
Och själva listan på sårbara system finns här: https://www.kb.cert.org/vuls/id/930724
Vad buggen gör är att man kan få shell på det systemet man attackerar och att få obehörig access till en server.
En sådan typ av access möjliggör en uppsjö av möjlig elaka saker man kan tänkas göra:
- Stjäla data i det system man kommer åt.
- Använda systemet för en språngbräda vidare in i nätverket.
- Använda systemen för att vara med i bot-nätverk.
- Starta en crypto-miner.
- Kryptera alla filer och utföra en ransomeware attack.
Vad skall man då göra för att åtgärda log4shell attacker?
Givetvis skall man patcha de system som är sårbara. Gå igenom er serverpark och jämför listan med sårbara system från länkarna ovan. Patcha de mest kritiska system först, allra helst de system som är publikt exponerade.
Går det inte patcha ett system, se till möjligheten att blockera attacker mha IPS signaturer eller andra typer av filter som skyddar systemen från attacken.
Blockera utgående LDAP trafik
Initialt har LDAP-protkollet används för att hämta den skadliga koden från en extern LDAP källa. Se därför till att inte ha LDAP tillåtet från servrar (eller klienter) till annat än vad dom behöver ha access till, dvs blockera utgående LDAP trafik. Även andra protokoll är möjliga att använda i attacken. Man ser att mer och mer HTTP används, och då blir det tyvärr lite svårare att blockera detta.
Vi har bara sett början vad log4shell kan åstadkomma för skada, så patcha era system så snabbt som möjligt.
/Tomas