Til hovedinnhold
Bilde av Elise Kristiansen som jobber på kontoret.

Apache Log4J Sårbarheten

Etter de siste ukers mediestorm rundt ulike sikkerhetshull på serverarkitektur og usikkerheten det skaper for deg som kunde ser vi det nødvendig å legge ut et innlegg om Apache Log4J.

Kjære alle kunder og samarbeidspartnere,

Etter de siste ukers mediestorm rundt ulike sikkerhetshull på serverarkitektur og usikkerheten det skaper for deg som kunde ser vi det nødvendig å legge ut et innlegg. Dette er ikke for å fortelle at alle våre kunder er berørt av denne feilen, tvert imot! Dette er mer en bloggpost med informasjon, der vi kan fortelle at dere trenger ikke å frykte.

Denne sikkerhetsfeilen som gjerne for noen av dere er helt ukjent, og gjerne litt skummel, skal vi forklare det litt i korte trekk.

Apache Log4J er en løsning som kjører på mesteparten av verdens serverarkitektur, alt fra Apple og Microsoft, til den lille garnbutikken på hjørnet med nettside, bruker slike løsninger.
Sikkerhetshullet var relatert til alle som kjørte versjonene fra Apache Log4J som er før 2.14.1 (Tidligere siste lanserte versjon) og etter 2.10.0.

Apache Log4J en løsningen som monitorer serveren og når det skjer en feil lagres det en logg på hva og hvor feilen skjer. Slik at det skal være enklere for utvikleren å identifisere feilen og utbedre. Sikkerhetshullet gjorde det mulig for hackerne å få tilgang til serveren og kjøre sin egen kode på serveren som administrator. Hackerne brukte dette hullet for til å installere inn en bakdør på serveren, og gi dem permanent tilgang på serveren.

Den 10.12.2021 ble det lagt ut en offentlig sikkerhets artikkel som fortalte om sikkerhetshullet i Apache Log4J, denne har fått navnet “Log4Shell” i utviklingsmiljøet. Når en slik sak kommer ut eksponeres feilen for mange som gjerne ønsker å utnytte dette hullet til egen vinning.

Slike store sikkerhetshull som blir oppdaget får ofte et CVE (Common Vulnerabilities and Exposures) gitt av NVD (National Vulnerability Database) i USA. Her spores sikkerhetshullet og det får en NVD klassifisering, denne feilen har fått 10 som klassifisering, som er den høyeste graden en feil kan ha. Derfor har det også blitt en mediestorm uten like av denne feilen, forståelig nok. Vi har også lagt til linker til de ulike CVE artiklene nederst i innlegget.

Påfølgende dager har NCSC (Nasjonalt cybersikkerhetssenter) fra 10. desember og gjennom dagen 11. desember observert omfattende utnyttelsesforsøk gjennom VDI (det nasjonale varslingssystemet for digital infrastruktur), og fått rapporter om tilsvarende fra samarbeidspartnere nasjonalt og internasjonalt.

Slike løsninger er ofte utsatt for angrep og derav er det et digitalt kappløp mellom de som utvikler tjenester, og de som ønsker å sabotere for andre, såkalt datasnoker (hackere) ønsker å utnytte disse sikkerhetshullene til egen vinning. Samme dag lanserte Apache en oppdatert versjon Log4J kalt 2.16.0 som har tettet dette sikkerhetshullet.

Undersøkelser som er gjort av sikkerhetseksperter ser at mesteparten av de som har utnytte sikkerhetshullet, har tatt seg inn på servere for å installere tjenester for å utvinne kryptovaluta som gjør det mulig for de å bruke server kapasiteten på å tjene penger til egen lomme, men det finnes også andre tilfeller der det brukes for å uthente brukerdata fra serveren.

Noen av våre løsninger bruker Log4J som en del av sin serverarkitektur, slik som i løsninger som Solr og AWS ElasticSearch. Her har vi identifisert våre kunder som var berørt med engang som har vært eksponert for dette problemet.

Alle våre servere ble samtidig sikret mot denne skaden, enten er serveren oppdatert slik at dette hullet er tettet, eller med vi har midlertidig tettet hullet på andre måter i påvente av å oppdatere løsningen. De kundene der denne feilen enda ikke er ryddet helt opp i vil bli kontaktet med en fremdriftsplan på hvordan dette skal løses.

Dette er ikke en ukjent prosess og helt normal del av en teknologileverandørs hverdag. Vi har tettet mange hull og vil fortsette å gjøre det, når vi finner ulike hull tettes disse, vi tar kontakt med den berørte kunden og forteller enkelt en hvem, hva og hvorfor. Slik at du som kunde skal være sikker på at vi tenker på din løsnings sikkerhet til enhver tid.

Hva betyr dette for deg som kunde?
For aktuelle kundene vil vi ta direkte kontakt med dere for videre planlegging for utbedring. Blir du ikke kontakt er du ikke berørt av denne feilen.

Kilder fra NVD:
https://nvd.nist.gov/vuln/detail/CVE-2021-4104
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-45046

Her kan du lese mer hos Nasjonal sikkherhetsmyndighet:
https://nsm.no/aktuelt/kritisk-sikkerhetshull-i-apache-log4j-hva-betyr-det

Aplia AS