Sikkerhetsselskapet P1 Security, som fokuserer på sikkerhet i telekom-relaterte systemer, advarte denne uken om at den mye omtalte Log4Shell-sårbarheten (CVE-2021-44228) i loggbiblioteket Log4j, trolig kan utnyttes i signaleringsnettverkene til telekomselskaper.
Kan berøre mange ulike systemer
P1 Security skriver at ved å sende ondsinnet angrepskode gjennom signaleringsnettverket, kan det utløses en full RCE (Remote Code Execution) i tilknytning operatørens kjernenettverk og systemene som håndterer signaleringen, inkludert systemer for fakturering, IMS (IP Multimedia Subsystem), overvåkning og mye annet.
Siden det er enkelt å utnytte Log4Shell-sårbarheten, og fordi Log4j brukes så mange steder, mener P1 Security at faren for angrep er høy.
Przemysław Dęba, som ifølge TelecomTV er sikkerhetssjef i telekomselskapet Orange Polska, skriver i tvitringen nedenfor at dersom P1 Security har rett, dreier dette seg om en ny og forbløffende angrepsvektor basert på Log4Shell.
P1 Security har utviklet en tjeneste som gjør det mulig å skanne signaleringsnettverket etter sårbare Log4j-komponenter.
Ny sårbarhetsskanner
Noe tilsvarende har også amerikanske CISA (Cybersecurity and Infrastructure Security Agency) kommet med. Denne Python-baserte skanneren skal kunne avdekke potensielt sårbare webtjenester berørt av Log4Shell-sårbarheten. CISO kom i forrige uke med et nøddirektiv som krever at føderale, amerikanske myndighetsorganer må ha fjernet Log4j-sårbarhetene innen klokken 17 i ettermiddag, Eastern Standard Time. Da er det selvfølgelig avgjørende å være klar over om Log4j benyttes ett eller annet sted i infrastrukturen, av en eller annen underkomponent.
Vellykkede utnyttelser i Norge
Også Nasjonalt cybersikkerhetssenter (NCSC) ber norske virksomheter om å iverksette umiddelbare tiltak for å lukke Log4j-sårbarhetene før julehøytiden setter inn. I en oppdatering som ble publisert tirsdag, skriver senteret at høytiden innebærer for mange redusert bemanning og lavere kapasitet til å avdekke og håndtere eventuelle hendelser.
NCSC opplyser at det kjenner til tilfeller av vellykkede utnyttelser i Norge, men at disse håndteres innenfor rammene av det normale. Det skal foreløpig ikke dreie seg om noen store kompromitteringer.
Senteret mener likevel at mer spissede og vellykkede kompromitteringer må kunne forventes i løpet av de neste ukene, etter hvert som trusselaktørene får tid på seg til å forbedre angrepsverktøyene.
Det advarer også om at enkelte midlertidige tiltak for å redusere faren for angrep, i de tilfellene hvor Log4j-biblioteket ikke umiddelbart kan oppdateres, nå har blitt omgått og ikke lenger anses som sikre. Det er kun versjon 2.17.0 og nyere av Log4j, samt i versjon 2.12.2 for Java 7, at de tre nylig omtalte sårbarhetene har blitt fjernet.