Under en av våre daglige stand-ups om morgenen 10. desember fikk vi oppdrag å prioritere å se på alle programvarene våre, og identifisere hvilke som brukte Log4J. Dette var nå høyeste prioritet, og alle andre oppgaver måtte settes på vent. Det var også i alle avisene og alle snakket om det. I løpet av de neste dagene var hele "Softwares" verdenen i krisemodus, folk jobbet dag og natt med lite søvn og små pauser.
Men hva er Log4J?
Log4j er en "open-source" Java basert Apache-loggingsrammeverk (loggingsbibliotek) som utviklere bruker for å holde oversikt over aktivitet i en applikasjon.
Log4J er overalt, det er en av de vanligste pakkene i verden.
Log4j registrerer hendelser – feil og rutinemessige systemoperasjoner – og kommuniserer diagnostiske meldinger om dem til brukere og administratorer. Et vanlig eksempel på Log4j på jobb, er når du skriver inn eller klikker på en dårlig nettlenke og får en 404-feilmelding (nettsiden eksisterer ikke). Den registrerer også hendelsen i en logg for serverens systemadministratorer som bruker Log4j. Lignende diagnostiske meldinger brukes i hele programvareapplikasjoner. For eksempel, i onlinespillet Minecraft, brukes Log4j av serveren til å logge aktivitet som totalt minne brukt og brukerkommandoer skrevet inn i konsollen.
Hvorfor var alle så stresset?
Noen mennesker fant ut at ved å be programmet om å logge en linje med skadelig kode, ville den kjøre denne koden i prosessen, noe som betydde at dårlige aktører kunne ta kontroll over servere som kjører log4j.
Det har blitt rapportert at dette ble opprinnelig oppdaget i et forum dedikert til videospillet Minecraft.
Sårbarheten var veldig enkel å utnytte. Når det gjelder Minecraft, var det bare å skrive en linje med ondsinnet kode i den offentlige chatteboksen under et spill. Sårbarheten gir også hackere tilgang til hjertet av det systemet de prøver å komme inn i, og skjærer forbi alle de typiske forsvarsprogrammene som selskapene bruker for å blokkere angrep. Det er en feil i designet av katastrofale proporsjoner.
Log4j er en del av Java, og Java har hatt en betydelig plass i måten programvare har vært skrevet på siden 90-tallet. Store deler av kode som det moderne liv lever av, på bruker Java og inneholder log4j. Skylagringsselskaper som Google, Amazon og Microsoft, som gir den digitale ryggraden for millioner av andre apper, er berørt. Store programvareselgere, som IBM, Oracle og Salesforce, hvis programmer brukes av millioner, er også berørt. TV-er og sikkerhetskameraer som kobles til internett er også i faresonen.
Hackere har plutselig en enorm mulighet til å prøve å komme seg inn nesten hvor som helst de vil.
Figuren nedenfor vises ett eksempel hvor "a malicious payload" kjøres på sårbare serveren. Disse kan variere fra malware, Åpne en bakdør, Crypto-miners og mer.
Hva var responsen til dette?
Når det ble rapportert, ga Apache sårbarheten (Log4shell) en "critical category" og utviklet en løsning. Helt siden da har IT-team oppdatert Log4j til versjon 2.15.0, som ble utgitt før sårbarheten (Log4shell) ble offentliggjort og løser stort sett problemet. Selv om patcher kan frigjøres raskt, tar det litt tid før alle bruker dem. Datamaskiner og webtjenester er svært komplekse i disse dager, så det kan ta måneder før alle disse tjenestene oppdateres. Og det vil alltid være noen systemer som aldri vil bli oppdatert av ulike årsaker.
Er hackere bevisst på dette?
Hackere skanner aktivt internett for berørte systemer, noen har utviklet verktøy som utnytter feilen (log4shell), noen har skapt worms som sprer seg uavhengig fra et berørt system til et annet. Bakdører eller malicious kode som blir liggende etter at log4j er fikset er også en mulighet.
Hva kan vi gjøre?
Phishing-e-poster (der de lurer deg til å klikke på koblingen eller åpne et vedlegg) er en måte de kan prøve å utnytte. Her er trening og bevisstgjøring avgjørende.
Konklusjon
Ikke alle vil løse problemet med det første. Å få en hel bransje til å oppdatere et bestemt stykke programvare raskt er nesten umulig. Mange selskaper vil ikke ende opp med å gjøre det, eller vil tro at de ikke blir berørt når de virkelig er det.
Det betyr at log4j kan være et problem i årene som kommer.
About this author
Sandro da Silva
Test Manager
Sandro has 10 years of experience as a Test Manager, mainly in the Norwegian public sector and also in Oil and Gas. His background is in the Oil and Gas industry where he worked 11 years as a Seismic Engineer for ...
