Log4Shell-bristen i enkelhet

I fredags publicerades en mycket allvarlig säkerhetsbrist i det välanvända, men relativt okända, loggbiblioteket Log4j. Bristen, som kallas Log4Shell, omnämns som en av de allvarligaste någonsin. Här beskriver vi i enkelhet vad som har uppdagats. 

Vad är Log4j? 

Log4j är ett populärt loggbibliotek som används i programmeringsspråket Java. En logger är en typ av mjukvara som sparar information på datorn. I vanliga fall används mjukvaran för att övervaka aktivitet och fånga upp information som kan behövas vid felsökning.  

Vilken data hanterar Log4j? 

Vad kanske få tidigare har reflekterat över, är att Log4j loggar och lagrar mycket information. Om du till exempel besöker en hemsida, kan det hända att den loggar bland annat din IP-adress, vilken webbläsare du använder, tid för besöket och vilken sida du besökte. 

Det finns uppskattningsvis 3 miljarder enheter som använder programmeringsspråket Java. Log4j används i mängder av dessa Java-baserade mjukvaror, och återfinns bland annat i webbservrar, i din telefon, i mjukvara på datorn du använder och i dina smarta hem-enheter. Att Log4j används i extremt stor skala gör att effekten av en kritisk säkerhetsbrist blir monumental.   

Vilken säkerhetsbrist utnyttjas? 

En logger som Log4j har som syfte att skriva ned aktiviteten till en fil eller en databas för att spara det. Innan detta utförs sker dock några saker som kan vara värt att känna till.  

En av sakerna som Log4j gör är att leta efter mönster, såsom ${någonting}, för att sedan försöka ersätta det med annan information. Detta genomförs för att addera ett sammanhang, där exempelvis ${year} skulle kunna användas för att lägga till aktuellt årtal för enklare arkivering.  

Det är här det blir allvarligt i fallet med Log4j, då det nu finns en sårbarhet som innebär att det saknas tillräcklig kontroll när användaren skickar förfrågningar till servern. Bristen möjliggör att skadlig programvara på så vis kan anropas och köras från distans (även kallat Remote Code Execution).

Säkerhetsbristen ligger i att ett speciellt mönster existerar som får mjukvaran att försöka ersätta det som står inom måsvingar genom att utlösa en mekanism som laddar en resurs från en annan dator, var som helst på internet. Allt som behövs är information om var den ska hämta data ifrån.  

Den skadliga programvaran körs automatiskt på datorn eller enheten som använder Log4j, vilket gör det möjligt för en angripare att skapa specialgjorda förfrågningar och skicka dem med hjälp av vilket fjärrprotokoll som helst, till exempel HTTP. I slutändan kan angriparen med enkelhet exekvera skadlig kod, överbelasta enheten eller stjäla data.  

Är bristen lätt att utnyttja? 

Bristen i sig är en barnlek att utnyttja och kräver inte stora tekniska kunskaper. En angripare behöver inte ens veta exakt vilken enhet som ska angripas, utan kan få alla enheter som använder Log4j att trigga sårbarheten genom att skriva en enkel kodsträng. 

Det vida användandet av Log4j, bristens allvarlighetsgrad och enkelheten att utnyttja den, gör att säkerhetsbristen räknas som en av de allvarligaste någonsin. Då det är utmanande att utröna var Log4j används och patcha det som berörs, blir följden sannolikt att vi får leva med efterdyningarna av bristen länge.  

För hackergrupperna kom julafton tidigt i år.  

Behöver ni hjälp att hantera situationen? 

Sentor hjälper företag att förebygga, upptäcka och hantera säkerhetsincidenter. Behöver ni ha hjälp att hantera utmaningar kopplade till Log4j? Kontakta oss!