Log4shell

Log4shell CVE-2021-44228
Logo av Kevin Beaumon

Blogginlägget uppdaterat 2021-12-13 klockan 09:35

Jag har försökt att samla upp alla intressanta länkar och information i detta blogginlägg gällande den nya sårbarheten Log4shell, CVE-2021-44228 som påverkar hundratals om inte tusentals olika produkter och system. Obs: denna sårbarhet kallades felaktigt först för Logjam, men det är en äldre sårbarhet som har och göra med SSL/TLS.

Jag har skapat en lista med några saker som Er organisation bör genomföra mer eller mindre omgående. Inte direkt i någon prioriteringsordning, utan alla bör köras samtidigt:

  1. Kontrollera med leverantören av era produkter eller system om de har släppt någon patch
  2. Gör aktiv genomsökning efter sårbarheten. Främst från internet
  3. Använd ett EDR eller verktyg som ni har på servrar och klienter för att söka efter hashar/log4j biblioteket
  4. Detektion av utnyttjande av sårbarheten samt incidenthantering

När det gäller första punkten så kan jag tipsa om denna lista som försöker sammanställa system som är sårbara:

Och för andra punkten så kan jag rekommendera att använda Nuclei-scanner eller Burp Suite där plugins såsom ActiveScan++ eller Burp Bounty.

Och gällande punkt nummer tre så bör ni söka igenom efter följande hashar som länkas här. Men observera att de kan ligga i komprimerade jar-filer. Även detta script kan användas:

Log4shell IOCs: https://github.com/curated-intel/Log4Shell-IOCs

För punkt nummer fyra kan det vara lite trixigare. För att detektera om sårbarheten har utnyttjas så kan det vara svårt med grep osv. Främst för att det finns så otroligt många sätt att obfuskera payloaden, men kolla in denna lista för några tips:

Måste också nämna att Cybereason har tagit fram en exploit så patchar log4j. Rätt fyndigt:

Cloudflare har listat några av de payloads som de detekterat ute på internet:

Och sist men inte minst så vill du själv testa att utnyttja sårbarheten så finns detta Spring Boot-projekt för testning:

Se även mitt blogginlägg från i fredags här.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>