Log4Shell – så skyddar du dig

av | dec 20, 2021 | Cybersäkerhet

Tomas Fridén IT-säkerhetskonsult

Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell.

Vad är då log4shell och varför är det en så allvarlig sårbarhet?

Log4shell är namnet på själva attacken, sårbarheten ligger i ett loggningsbibiliotek, log4j (utvecklat av Apache), som används som logmodul i många Java applikationer. Då biblioteket används i många installationer finns det väldigt många sårbara system att patcha.

Förutom att det finns många publika web-servrar som är sårbara, används även Java applicationer för många interna system och många av våra IT tillverkare har baserat sina verktyg på dessa tekniker.

Mer om sårbarheten kan man hitta i CVEs databas: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Och själva listan på sårbara system finns här: https://www.kb.cert.org/vuls/id/930724

Vad buggen gör är att man kan få shell på det systemet man attackerar och att få obehörig access till en server.

En sådan typ av access möjliggör en uppsjö av möjlig elaka saker man kan tänkas göra:

  • Stjäla data i det system man kommer åt.
  • Använda systemet för en språngbräda vidare in i nätverket.
  • Använda systemen för att vara med i bot-nätverk.
  • Starta en crypto-miner.
  • Kryptera alla filer och utföra en ransomeware attack.

Vad skall man då göra för att åtgärda log4shell attacker?

Givetvis skall man patcha de system som är sårbara. Gå igenom er serverpark och jämför listan med sårbara system från länkarna ovan. Patcha de mest kritiska system först, allra helst de system som är publikt exponerade.

Går det inte patcha ett system, se till möjligheten att blockera attacker mha IPS signaturer eller andra typer av filter som skyddar systemen från attacken.

Blockera utgående LDAP trafik

Initialt har LDAP-protkollet används för att hämta den skadliga koden från en extern LDAP källa. Se därför till att inte ha LDAP tillåtet från servrar (eller klienter) till annat än vad dom behöver ha access till, dvs blockera utgående LDAP trafik. Även andra protokoll är möjliga att använda i attacken. Man ser att mer och mer HTTP används, och då blir det tyvärr lite svårare att blockera detta.

Vi har bara sett början vad log4shell kan åstadkomma för skada, så patcha era system så snabbt som möjligt.

/Tomas

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Next Gen Account Manager

Next Gen Account Manager

Om Cuebid Cuebid är ett tillväxtföretag och har sedan starten 2009 växt till en väletablerad och nationell aktör inom nätverk-och säkerhetstjänster som kompletteras med 24/7 helpdesk-och supporttjänster, kompetensledande konsulter, IT utbildningar och ett starkt sälj-...

region stockholm säkrar sina tjänster

region stockholm säkrar sina tjänster

Sveriges största regionala vårdgivare säkrar sina tjänster med ökad prestanda och tillförlitlighet till lägre kostnad. Cuebid har bidragit med design och arkitektur, konsult- och specialistkompetens vid installation, konfiguration, uppgraderingar och incidenter,...

Applikationssäkerhet – vems ansvar är det?

Applikationssäkerhet – vems ansvar är det?

En gång i en grå forntid så hade man en ganska naiv syn på IT-säkerhet, men man insåg med tiden att man var tvungen att revidera den synen. Saker som brandväggar och antivirusskydd på klienter blev en normal del av IT-miljön men allteftersom de metoder som används av...

Låt den rätte komma in (eller ut)

Låt den rätte komma in (eller ut)

Min kollega och vän skrev för ett par veckor sedan om vikten att kunna återställa förlorat data och vikten av att ha planerat för återställning, design och automatisering för att kunna återställa data. Och som Fredrik nämner så är det bara en pusselbit i kampen mot...

VMworld 2021: ”We’re proud to announce…”

VMworld 2021: ”We’re proud to announce…”

Aldrig tidigare har jag vart med om så mycket nyheter under VMworld! Ett tag blev det nästan komiskt att varje talare på den inledande ”General Session” och respektive keynote sa just frasen ”We’re proud to announce…”. General Session var för övrigt var en av de bästa...

Kaseyaattacken i retrospekt

Kaseyaattacken i retrospekt

När jag gjorde värnplikten, känns som hundra år sedan nu, så fanns det en allmänt vedertagen ”sanning”. Fienden skulle landsätta sina trupper i Sverige på midsommarafton, när minst halva befolkningen var satt ”ur stridbart skick”.  Det här var bland det första...