Log4shell

Blogginlägget uppdaterat 2021-12-13 klockan 09:35

Jag har försökt att samla upp alla intressanta länkar och information i detta blogginlägg gällande den nya sårbarheten Log4shell, CVE-2021-44228 som påverkar hundratals om inte tusentals olika produkter och system. Obs: denna sårbarhet kallades felaktigt först för Logjam, men det är en äldre sårbarhet som har och göra med SSL/TLS.

Jag har skapat en lista med några saker som Er organisation bör genomföra mer eller mindre omgående. Inte direkt i någon prioriteringsordning, utan alla bör köras samtidigt:

1. Kontrollera med leverantören av era produkter eller system om de har släppt någon patch
2. Gör aktiv genomsökning efter sårbarheten. Främst från internet
3. Använd ett EDR eller verktyg som ni har på servrar och klienter för att söka efter hashar/log4j biblioteket
4. Detektion av utnyttjande av sårbarheten samt incidenthantering

När det gäller första punkten så kan jag tipsa om denna lista som försöker sammanställa system som är sårbara:

• https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Och för andra punkten så kan jag rekommendera att använda Nuclei-scanner eller Burp Suite där plugins såsom ActiveScan++ eller Burp Bounty.

Och gällande punkt nummer tre så bör ni söka igenom efter följande hashar som länkas här. Men observera att de kan ligga i komprimerade jar-filer. Även detta script kan användas:

• https://gist.github.com/righettod/0f2a7491a312d1ff5823b73058e55016

Log4shell IOCs: https://github.com/curated-intel/Log4Shell-IOCs

För punkt nummer fyra kan det vara lite trixigare. För att detektera om sårbarheten har utnyttjas så kan det vara svårt med grep osv. Främst för att det finns så otroligt många sätt att obfuskera payloaden, men kolla in denna lista för några tips:

• https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b

Måste också nämna att Cybereason har tagit fram en exploit så patchar log4j. Rätt fyndigt:

• https://github.com/Cybereason/Logout4Shell

Cloudflare har listat några av de payloads som de detekterat ute på internet:

• https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/

Och sist men inte minst så vill du själv testa att utnyttja sårbarheten så finns detta Spring Boot-projekt för testning:

• https://github.com/christophetd/log4shell-vulnerable-app

Se även mitt blogginlägg från i fredags här.