Security Advisory

Den 9. december 2021 udgav Apache Software Foundation Log4j version 2.15.0 for at løse en kritisk sårbarhed ved fjernudførelse af kode (CVE-2021-44228), der påvirker version 2.0-beta9 til 2.14.1.

Apache Log4j er et populært Java logningsbibliotek, der er inkluderet i en bred vifte af virksomhedssoftware. Dette er en velkendt sårbarhed, der påvirker adskillige produkter.

Sårbarheden påvirker ikke kun Java baserede applikationer og tjenester, der bruger biblioteket direkte, men også mange andre populære Java komponenter og frameworks, der er afhængige af det.

Mere om sårbarheden finder du på følgende side: https://logging.apache.org/log4j/2.x/security.html


Er jeg berørt?

Anvender du software eller produkter som benytter Apache Log4j ældre end version 2.15.0, så er svaret sandsynligvis ja. Eksempler på softwareløsninger og produkter som er berørt af denne sårbarhed kunne eksempelvis være desktop applikationer, webservere, firewalls, storage appliances og meget mere.

Følgende SolarWinds produkter bruger en berørt version af Apache Log4j i deres kodebase:

- SolarWinds Orion Server & Application Monitor (SAM)
- SolarWinds Database Performance Analyzer (DPA)

SolarWinds Security Advisory Summary og løsningsguide finder du på følgende side: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228


Hvad skal jeg gøre?

Du bør undersøge om de softwareløsninger eller produkter som I bruger i jeres eget samt forbundne miljøer, anvender den sårbare version af Apache Log4j logningsbibliotek. Et godt sted at starte er på jeres enheder, som er forbundet til internettet; hjemmesider, firewalls, klientmaskiner mv. Undersøg med leverandøren af jeres løsning, om der er udgivet et patch eller løsning, som mitigerer truslen.

Ønsker du hjælp med at mitigere denne trussel i jeres SolarWinds Orion SAM eller SolarWinds DPA produkt, så kontakt os venligst for at aftale nærmere.

Er du Tenable.sc, Tenable.io eller Tenable Nessus kunde, så har du mulighed for at benytte opdaterede plugins som kan bruges til at identificere denne sårbarhed i jeres softwareløsninger og produkter.

Tenable CVE og plugin oversigt finder du på følgende side: https://www.tenable.com/cve/CVE-2021-44228


Update: 13-12-2021

Lister over kendte IP adresser som skanner efter Log4j sårbarheder er oprettet og bliver opdateret på  GitHub: https://github.com/curated-intel/Log4Shell-IOCs

Tenable tilbyder gratis Nessus Pro og Tenable.io konti, til skanning af interne systemer og eksterne adresser. Opret en gratis trial konto og skan jeres eksterne adresser ved at følge denne link:  Web App Scanning (WAS)

For at skanne interne systemer med Nessus Pro, følg denne link:  Nessus Professional

Der er vejledning omkring skanning med Tenable produkter, herunder Tenable.io og Nessus Pro i følgende YouTube playlist:  instructional videos

Kontakt os gerne på +45 70605665 eller info@veridata.dk hvis I ønsker hjælp med installation og opsætning af Tenable produkter.


Update: 14-12-2021

Tjek om dine produkter er berørt af Log4j sårbarheder på følgende GitHub side: https://github.com/NCSC-NL/log4shell/tree/main/software
Listen med produkter bliver opdateret løbende.


Update: 15-12-2021

Log4j version 2.16.0 frigivet for at adressere default indstillinger i JMSAppender og JNDI lookups: https://logging.apache.org/log4j/2.x/security.html


Update: 17-12-2021

SolarWinds har frigivet Log4j version 2.16.0 patches til SolarWinds Orion SAM og SolarWinds DPA produkter: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228

SolarWinds produkter bruger _ikke_ JMSAppender.


Update: 18-12-2021

Log4j version 2.17.0 frigivet for at adressere en sårbarhed med Denial of Service: https://logging.apache.org/log4j/2.x/download.html


Update: 21-12-2021

SolarWinds har frigivet Log4j version 2.17.0 patches til SolarWinds Orion SAM og SolarWinds DPA produkter: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228