Uppdatering om det allvarliga läget gällande sårbarheten i Log4j ("Log4Shell") (uppdat. 2021-12-20)

Sårbarhet Apache Log4j Log4Shell

CERT-SE gör en extra publicering med information riktad till it-chefer, ledningsgrupper och andra beslutsfattare som ansvarar för it-miljöer i små och stora organisationer, i såväl privat som offentlig sektor. Vi jobbar hårt med att nå ut till hela it-Sverige men vi misstänker att det finns ett stort mörkertal av organisationer där vi inte har nått ut med informationen på ett tillräckligt effektivt sätt.

I fredags blev en kritisk sårbarhet i det Java-baserade verktyget Apache Log4j (“Log4Shell”) känd. Det är många organisationer som är sårbara då ett flertal vanligt förekommande system och produkter använder Log4j [1, 2, 3, 4, 5, 6]. Dessa organisationer behöver säkerställa att deras it-system uppdateras omgående.

Sårbarheten i Log4j kan utnyttjas från internet för att köra skadlig kod och göra dataintrång, då information om hur man går tillväga för att angripa finns lättillgänglig. Både stora och små verksamheter kan drabbas. Inom samhällsviktiga tjänster och samhällskritisk infrastruktur kan sårbarheten få extremt allvarliga konsekvenser om den utnyttjas och en angripare får fotfäste i it-miljön. Angreppsförsök pågår redan mot svenska intressenter.

Det finns också indikationer på att det görs försök att göra sårbarheten till en automatiserad mask, ett extremt allvarligt scenario som kan innebära att den sprids okontrollerat på internet.

Funktionen CERT-SE vid MSB följer läget och arbetar med att sprida information brett och uppdaterar löpande en artikel på cert.se med ny information om denna it-säkerhetshändelse. Webbartikeln riktar sig till personal som är ansvariga för it-miljöerna och it-förvaltning men i det här läget väljer vi även att göra denna extra publicering riktad till beslutsfattare. Det är oerhört viktigt att detta hanteras. CERT-SE:s bedömning är att det bara är en tidsfråga innan vi kommer se flera fall av lyckade intrång.De viktigaste åtgärderna - som bör ske omgående - är att:* undersöka om det finns sårbara system i organisationen,* genomföra säkerhetsuppdateringar omgående,* se till att stänga av sårbara system och tjänster (om det inte går att säkerhetsuppdatera skyndsamt),* undersöka it-miljön efter spår på eventuella angrepp [1].

För privatpersoner är det generell cyberhygien som är bästa rekommendationen. Se alltså till att installera säkerhetsuppdateringar när sådana finns tillgängliga, inte bara på datorn och mobilen utan all it-utrustning som används i hemmet (routrar etc.) behöver vara väl uppdaterad. Se [7] och [8] för fler tips.Exempel på ett log4shell-angrepp

Mer information gällande teknisk hantering finns på cert.se: https://www.cert.se/2021/12/kritisk-sarbarhet-i-apache-log4jCERT-SE finns tillgängligt för tekniskt stöd.

Har ni frågor, kontakta CERT-SE. I första hand via e-post, cert@cert.se, eller i akuta lägen på telefon 010-240 40 40.Vi rekommenderar att ni registrerar er på CERT-SE:s blixtmeddelande. Information om hur man gör det finns på startsidan cert.se.

Källor

[1] https://www.cert.se/2021/12/kritisk-sarbarhet-i-apache-log4j

[2] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-med-tekniske-sporsmal-og-svar-kritisk-sarbarhet-i-apache-log4j

[3] https://www.govcert.admin.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

[4] https://github.com/NCSC-NL/log4shell/tree/main/software

[5] https://www.cisecurity.org/log4j-zero-day-vulnerability-response/

[6] https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

[7] https://www.cert.se/2020/03/sakerhet-och-infrastruktur-vid-arbete-hemifran

[8] https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/make-your-home-cyber-safe-stronghold