Med anledning av sårbarheten log4shell i mjukvaran log4j vill vi med den här uppdateringen informera alla kunder om vårt mitigeringsarbete, nuvarande status samt vad du som kund bör tänka på framöver.
Torsdagen den nionde december publicerades information om en sårbarhet i det, inom Java, populära loggningsbiblioteket log4j. Sårbarheten är relativt enkel att utnyttja och kan användas för att fjärrexekvera kod. Eftersom Java generellt och log4j specifikt används i en stor mängd mjukvaror och tjänster, ansågs sårbarheten vara så allvarlig att den fick högsta poäng en sårbarhet kan få – CVSSv3 10/10. En tid efter publiceringen tilldelades sårbarheten det mer formella namnet CVE-2021-44228.
GleSYS säkerhetsteam inledde på fredagsmorgonen incidenthantering med anledning av sårbarheten. En initial utvärdering påvisade att vi hade ett flertal interna system som var sårbara, om än inte externt nåbara. Eftersom det inte fanns patchar tillgängliga från mjukvaruutvecklarna, fokuserades arbetet kring att mitigera sårbarheten. Vi följde de rekommendationer som publicerats och startade om jvm med flaggan formatMsgNoLookups=true, för att stoppa uppslag av de strängar som man via jndi kunnat injicera för att via loggfunktionaliteten skicka trafik till en kontrollerad server.
Vi noterade tidigt att GleSYS VMware-kluster innehöll komponenter som var sårbara. Våra VMware-hostar är inte nåbara från system utanför vårt manageringsnätverk, men VMware-teamet valde ändå att omgående mitigera och patcha allt. Det arbetet slutfördes på söndagen, då status.glesys.com uppdaterades.
Då detta är en pågående och mycket allvarlig incident som påverkar en stor mängd organisationer världen över, är vår rekommendation att hålla sig ajour med den information som publiceras på log4shell.com. Man bör omgående patcha de mjukvaror man har som är sårbara. Om det inte finns en tillgänglig patch, bör man mitigera sårbarheten genom att använda sig av flaggan formatMsgNoLookups i sin jvm.options. Om det inte går, så bör man omgående begränsa tillgången till systemet i sin brandvägg.
Det är i skrivande stund tydligt att denna åtgärd inte löser samtliga problem. Man har nu upptäckt en sårbarhet som möjliggör Denial of Service (CVE-2021-45046). Denna sårbarhet är inte lika allvarlig, men då situationen fortsatt ger ringar på vattnet rekommenderar vi att man uppdaterar log4j till 2.16.0 där det går. Om man inte har möjlighet att uppdatera sin mjukvara, rekommenderar vi att man låser ner systemets brandvägg så att inte sårbarheten kan exploateras. Även om mitigeringsmetodiken med flaggan formatMsgNoLookups inte löser alla problem, begränsar det attackytan och minimerar riskerna kring CVE-2021-44228 som för många är det största hotet på grund av möjligheten att fjärrexekvera kod.
För närvarande finns det inga tecken på att sårbarheten har kunnat utnyttjas i GleSYS VMware-plattform, eller i några andra GleSYS-system. Vi fortsätter att övervaka situationen och befinner oss i incidentberedskap tills alla möjligheter att utnyttja denna och eventuellt kommande sårbarheter relaterade till log4j är mitigerade.
Har ni frågor eller behöver råd, är ni välkomna att kontakta GleSYS säkerhetsteam på security@glesys.se.
