Log4Shell: Alvorlig sårbarhed kan ramme millioner af tjenester
En ny og meget alvorlig sikkerhedsbrist er dukket op. Sårbarheden, der er blevet identificeret som CVE-2021-44228. er døbt Log4Shell, fordi fejlen er opstået i Log4j. Det er et open source Java-logværktøj, der bruges i mange Java-applikationer og Apache-webservere til at registrere aktivitet.
Sikkerhedsbristen indebærer, at der sendes en anmodning til en server, som endnu ikke er blevet sikkerhedsopdateret. Hackere og it-kriminelle kan udnytte, at Log4j som standard tillader, at logningsanmodninger kan udløse såkaldte LDAP-søgninger. Sårbarheden betyder, at nogle data, der logges, kan eksekvere kode på serveren. En mere teknisk gennemgang af, hvordan sikkerhedsbristen kan udnyttes, kan læses her.
Læs også: It- og cybersikkerhed har aldrig været vigtigere, end det er i dag
“Den alvorligste sikkerhedsfejl i et årti”
Hvis det lykkes en hacker at sende kode til serveren, som bliver logget af Log4j, kan det være muligt at opnå fuld fjernadgang til serveren uden at skulle bruge adgangskode. Og det kan få enorme konsekvenser, lyder det fra eksperter.
Amit Yoran, der er direktør i cybersikkerhedsfirmaet Tenable, siger til The Guardian, at sårbarheden er “den største og mest kritiske sårbarhed i det seneste årti – måske endda i hele den moderne it-historie”.
Adam Meyers, seniorvicepræsident hos cybersikkerhedsfirmaet Crowdstrike, siger, at ”internettet er i brand lige nu”.
“Folk kæmper for at rette fejlen, og alle slags mennesker kæmper for at udnytte det,” siger Meyers, som også oplyser, at it-kriminelle allerede havde udviklet software til at udnytte fejlen 12 timer efter dens offentliggørelse i torsdags.
Også Joe Sullivan, som er sikkerhedschef hos virksomheden Cloudflare, ser alvorligt på sårbarheden. Til nyhedsbureauet AP siger han, at han “har svært ved at komme i tanke om en virksomhed, der ikke er i fare.
Minecraft, Steam, Twitter og Apple ramt
En af de første beviser på sårbarhedens alvorlighed viste sig i spillet Minecraft, hvor det lykkedes brugere at køre programmer på andre spilleres computere ved at indsætte særlige tekster i chatbeskederne. Microsoft, som i dag ejer Minecraft, har siden udsendt en opdatering til spillet, som beskytter brugerne mod sårbarheden.
A story in three parts 😶 #log4j pic.twitter.com/XMl02BcaJY
— Cas van Cooten (@chvancooten) December 10, 2021
Sikkerhedseksperter har også fundet beviser for, at sårbarheden har været udnyttet på servere, som er drevet af firmer som Apple, Amazon, Twitter og Cloudflare. Sidstnævnte oplyser dog, at firmaets servere ikke har været kompromitteret, skriver The Guardian.
Det præcise antal servere og tjenester, der bruger Log4j-komponenten, vides ikke, men det estimeres til at være flere millioner.
Læs også: Antal cyberangreb mod virksomheder er steget 13 procent
Flere myndigheder advarer mod Log4Shell
Sikkerhedsfejlen blev først opdaget af den kinesiske techgigant Alibaba, som rapporterede sårbarheden til Apache Software Foundation den 24. november. Umiddelbart efter offentliggørelsen af sårbarheden den 9. december har flere lande advaret mod den. I fredags udsendte blandt andet NSM National Cyber Security Center i Norge et varsel. Det samme gjorde The United States Cybersecurity and Infrastructure Security Agency, Østrigs pendant CERT og New Zealands CERT.
Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste, har endnu ikke varslet mod den alvorlige sårbarhed.
Virksomheder skal opdatere deres software
Apache Software Foundation, som fører tilsyn med udviklingen af Apache-softwaren, har vurderet sårbarheden som 10 ud af 10, og har på to uger udviklet og udgivet en rettelse.
Det er med andre ord meget vigtigt, at virksomheder straks får opdateret deres software, så deres servere og tjenester ikke længere er sårbare over angreb.
Ifølge eksperter kan det tage et par uger for nogle virksomheder at få rettet sårbarheden. Bruger man en cloudtjeneste som Amazon web Services (AWS), vil man nemt kunne opdatere virksomhedens webservere. Udfordringen er, at Apache-softwaren ofte er indlejret i tredjepartssoftware, som skal opdateres individuelt.
Amit Yoran fra Tenable opfordrer derfor virksomheder til at gå ud fra, at de er blevet kompromitteret og få rettet sårbarheden hurtigst muligt.
Læs også: Nyheder om it- og cybersikkerhed