Log4Shell – så skyddar du dig

av | dec 20, 2021 | Cybersäkerhet

Tomas Fridén IT-säkerhetskonsult

Nu är det dags för ett blogg-inlägg igen. Denna gång vill jag skriva några rader om förra veckans händelser kring log4shell.

Vad är då log4shell och varför är det en så allvarlig sårbarhet?

Log4shell är namnet på själva attacken, sårbarheten ligger i ett loggningsbibiliotek, log4j (utvecklat av Apache), som används som logmodul i många Java applikationer. Då biblioteket används i många installationer finns det väldigt många sårbara system att patcha.

Förutom att det finns många publika web-servrar som är sårbara, används även Java applicationer för många interna system och många av våra IT tillverkare har baserat sina verktyg på dessa tekniker.

Mer om sårbarheten kan man hitta i CVEs databas: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Och själva listan på sårbara system finns här: https://www.kb.cert.org/vuls/id/930724

Vad buggen gör är att man kan få shell på det systemet man attackerar och att få obehörig access till en server.

En sådan typ av access möjliggör en uppsjö av möjlig elaka saker man kan tänkas göra:

  • Stjäla data i det system man kommer åt.
  • Använda systemet för en språngbräda vidare in i nätverket.
  • Använda systemen för att vara med i bot-nätverk.
  • Starta en crypto-miner.
  • Kryptera alla filer och utföra en ransomeware attack.

Vad skall man då göra för att åtgärda log4shell attacker?

Givetvis skall man patcha de system som är sårbara. Gå igenom er serverpark och jämför listan med sårbara system från länkarna ovan. Patcha de mest kritiska system först, allra helst de system som är publikt exponerade.

Går det inte patcha ett system, se till möjligheten att blockera attacker mha IPS signaturer eller andra typer av filter som skyddar systemen från attacken.

Blockera utgående LDAP trafik

Initialt har LDAP-protkollet används för att hämta den skadliga koden från en extern LDAP källa. Se därför till att inte ha LDAP tillåtet från servrar (eller klienter) till annat än vad dom behöver ha access till, dvs blockera utgående LDAP trafik. Även andra protokoll är möjliga att använda i attacken. Man ser att mer och mer HTTP används, och då blir det tyvärr lite svårare att blockera detta.

Vi har bara sett början vad log4shell kan åstadkomma för skada, så patcha era system så snabbt som möjligt.

/Tomas

Senaste artiklarna
Kategorier

DIGITAL EXPERTHJÄLP

På vår bokningssida kan du själv se när en konsult finns tillgänglig, och direkt lägga in din bokning. Enklare kan det inte bli!

Har du koll på ditt nät?

Har du koll på ditt nät?

Hur många switchar har jag? Hur belastad är min Internetförbindelse? Vilka av mina enheter kör en viss release av programvara? Listan kan nästan göras oändlig… Att ha ett bra övervakningsverktyg är inget man skall underskatta, det kan underlätta och stötta din...

En otacksam uppgift

En otacksam uppgift

I Hollywoodfilmerna är det så enkelt. När de goda skaffar en större brandvägg skaffar de onda större superdator och med en större superdator det är ju inga problem att ta sig igenom brandväggen och att komma åt de känsliga filerna. I verkligheten börjar det nästan...

Hacking på hög nivå

Hacking på hög nivå

Tänka att kunna ha en egen hacker som kan hjälpa till att hitta säkerhetsproblem i din egen IT-miljö. Historiskt har det ju funnits ett antal olika verktyg för att själv göra detta arbete. Jag själv har använt Nessus och SANTA som har använts för att göra...

VeeamON 2021

VeeamON 2021

  Två intensiva halvdagar med otroligt utbud av sociala mötesplatser, demo, labb och givetvis sessioner! Allt spelades in och går att se i efterhand på https://www.veeam.com/veeamon  Tyvärr vann jag...

Hope for the best prepare for the worst

Hope for the best prepare for the worst

Business Continuity eller kontinuitetsplan på svenska är ju bra, har jag hört…eller? Att något fungerar kontinuerligt är ju viktigt idag, för att din verksamhet ska tuffa på oavbrutet. Klart att det skiljer sig mellan olika verksamheter, en bonde kanske inte fundera...