Log4j Java turvanõrkuse kokkuvõte

9. detsembril 2021 avalikustati Log4j Java logimisfunktsioonis kriitiline nullpäeva turvanõrkus CVE-2021-44228. Turvanõrkuse tõsidus hinnati rahvusvahelise standardi järgi võimalikust kõrgeimaks (10 punkti 10st), sest see võimaldab ründajal haavatavas seadmes jooksutada vabalt valitud koodi. Nõrkus mõjutab lugematut hulka ettevõtteid ja asutusi, sealhulgas avaliku sektori asutusi ja teenuseid.

17. detsembril tuli välja, et seni Java 8 või uuemale Java versioonile mõeldud Log4j versioon 2.15 ei ole enam turvaline ning soovitus oli uuendada Java 8 või uuema kasutamisel Log4j versiooninile 2.16. Kolm päeva hiljem selgus täiendavalt, et uuendada tuleks hoopis versioon 2.17 peale https://amp.thehackernews.com/thn/2021/12/new-local-attack-vector-expands-attack.html.

Turvanõrkuse olemus

CVE-2021-44228 turvanõrkust on ründajal võimalik ära kasutada nii, et ta saadab haavatavale serverile, seadmele või süsteemile kindla formaadiga käsu ja lisab viite pahavarale, mis võib asuda kuskil kolmandas serveris. Haavatav server loob käskluse, Log4j otsib viidatud pahavara üles, laeb alla ja käitab selle. Pahavara iseloomust sõltuvalt võib see anda kolmandale osapoolele ligipääsu seadmele.

Intsidendi mõju

Kui mõjutatud seadmete ja süsteemide uuendused jäävad venima või kui uuendusi nende valmides kiiresti ei paigaldata, võib potentsiaalne kahju olla globaalselt seninägematu.

Turvanõrkuse massilist ärakasutamist Eestis seni näha ei ole. 20.12 seisuga on RIA küberintsidentide käsitlemise osakonnale (CERT-EE) teada mõnest juhtumist, kus nõrkuse kaudu on süsteem kompromiteeritud või testitud turvanõrkuse olemasolu. See info täieneb pidevalt.

Kompromiteerimise tagajärjel toimunud tõsiste tagajärgedega rünnakutest, andmeleketest või lunavarajuhtumitest, mis oleks mõjutanud kriitiliste teenuste osutamist, seni teateid ei ole.

Täielikku ülevaadet mõjutatud seadmetest või süsteemidest on keeruline kokku panna, sest Java programmeerimiskeel on laialt levinud. Näiteks kui asutuses on kasutusel Java platvormil programmeeritud teenused, on neil võimalik uuendada Log4j logimisfunktsioon ise. Kuid samas võib asutuses olla kasutuses hulk nn karbitooteid (võrguseadmed, antiviiruse keskhaldus, veebiteenuste taristuteenused vms), milles on samuti kasutusel Log4j ja mille kaudu võib tekkida ründajal ligipääs asutuste võrkudele. Need tooted peaks saama uuenduse tootjate kaudu.

Kõik seadmed ja rakendused, mis kasutavad log4j logimisfunktsiooni teatud versioone (2.0-beta9 kuni 2.16.0, väljaarvatud 2.12.2), on potentsiaalselt haavatavad ning need tuleb uuendada versioonile 2.17.0. Kõikide versioonide jaoks ei ole veel turvapaiku välja töötatud. Lisaks ei ole kõik kasutajad veel jõudnud rakendada turvapaiku versioonidele, millele on see avaldatud.

Mõju lõppkasutajatele

Log4j turvanõrkusel on hetkel mõju pigem ettevõtetele ja asutustele, kelle süsteemidesse on võimalik potentsiaalselt sisse murda. Kui turvanõrkust hakkavad ära kasutama aga kurjategijad, kel õnnestub paigaldada pahavara laialt kasutatavatesse teenustesse, võib sellel olla mõju ka tavakasutajatele. Praegu ei ole võimalik öelda, milline on nõrkuse mõju lõppkasutaja seadmetele, st arvutitele ja nutiseadmetele. On väga tõenäoline, et on vaja ka uuendused välja töötada Java platvormi kasutavatele asjade interneti seadmetele ja masinatele.

Meetmed

Ettevõtted ja asutused peaksid üle vaatama oma IT-taristu ja tegema endale selgeks, millistes kasutatavates toodetes ja teenustes võib vastav haavatavus peituda. Kui tootja tuleb välja uuendusega, tuleks paigata need nii kiiresti kui võimalik. Samal ajal peaks ettevõtted ja asutused aktiivselt otsima võimalikke sissetungikatseid. Toodete puhul, kus uuendused puuduvad, on rahvusvaheline küberturvalisuse kogukond välja pakkunud hulga meetmeid, mis aitaks vähendada rünnakute edukust.

Versioon ja skoor: 2.0-beta9 kuni 2.14.1 – kriitiline
CVE: CVE-2021-44228
Nõrkus: Kaugkoodikäivitus
CVSS: 10

Versioon ja skoor: 2.0-beta9 kuni 2.15 (v.a 2.12.2) – kriitiline
CVE: CVE-2021-45046
Nõrkus: Kaugkoodikäivitus ja infoleke
CVSS: 9

Versioon ja skoor: 2.0-beta9 kuni 2.16 – kõrge
CVE: CVE-2021-45105
Nõrkus: Teenusetõkestus
CVSS: 7.5

Versioon ja skoor: 1.2 – kõrge
CVE: CVE-2021-4104
Nõrkus: Untrusted deserialization
CVSS: 8.1

Parim lahendus on uuendada haavatavates süsteemides Log4j versioonile 2.17.
Kui uuendamine ei ole võimalik, siis tuleb hinnata riski ning rakendada vastavalt riskihindamise tulemusele leevendusmeetmeid:

  • Java käivitamisel kasutada parameetrit -Dlog4j2.formatMsgNoLookups=true või seada keskkonnamuutuja LOG4J_FORMAT_MSG_NO_LOOKUPS=”true” (ei lahenda CVE-2021-44228 nõrkust)
  • Eemaldada JndiLookup class classpathist

Täiendavad leevendusmeetmed:

  • (Potentsiaalselt) haavatavate süsteemide eraldamine võrkude segmenteerimise või tulemüüride abil.
  • (Potentsiaalselt) haavatavate süsteemidel internetti pöördumise algatamise keelamine
  • IDS/IPS süsteemides vastava kaitse sisse lülitamine.
  • Süsteemide automaatne või sage manuaalne monitoorimine rünnete või muude kahtlaste tegevuste tuvastamiseks.

Täiendavaid leevendusmeetmeid on soovitav rakendada ka teadaolevalt mitte haavatavate süsteemide puhul võimaliku tulevase ohu vähendamiseks.

Küberrünnaku kahtluse korral tuleks esimesel võimalusel pöörduda CERT-EE poole aadressil cert[@]cert.ee.

RIA tegevused ja kronoloogia

  • 10.12 – RIA edastas esimese teavituse turvanõrkuse kohta koos tegutsemisjuhistega RIA tiimidele ja teistele riigiasutustele, sh turvajuhtide.
  • 10.12–17.12 – RIA kaardistab nii enda teenustes haavatavad komponendid (need kas uuendatud või leidnud võimaluse piirata ründevektorit) ning kogub infot partneritelt.
  • 13.12 – RIA edastas hoiatused ja soovitused avaliku sektori turvajuhtidele ja elutähtsate teenuste osutajatele.
  • 13.12 – RIA on tuvastanud rünnakukatseid riigivõrku kasutavate asutuste suunas ning andnud neist märku vastavatele asutustele koos suunistega, kuidas oma taristut kaitsta.
  • 17.12 ja 20.12 – RIA edastas täiendava teavituse turvanõrkuse kohta elutähtsate ja oluliste teenuste osutajatele (ETOd ja OTOd) ning turvajuhtidele.

RIA jätkab asutustega suhtlemist, olukorra kaardistamist ja annab jooksvalt soovitusi nii asutustele kui ka teenuse pakkujatele.