Log4j: Stora IT-leverantörer skyndar sig att fixa detta fel och mer inför jul

0
208

Liam TungSkrivet av Liam Tung, bidragsgivare Liam Tung Liam Tung Bidragsgivare

Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för sin smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.

Fullständig bio den 17 december 2021 | Ämne: Säkerhet Varför samma gamla cyberattacker fortfarande är så framgångsrika och vad som måste göras för att stoppa dem Titta nu

Semestersäsongen börjar bli upptagen för de patchsystem som påverkas av kritiska fel i log4j Java-programfelloggningsbiblioteket.

IBM har bekräftat att flera av dess stora företagsprodukter påverkas av Log4j-felet. På torsdagen bekräftade företaget att IBM Db2 Warehouse, som använder Log4j, tillät en fjärrangripare att exekvera godtycklig kod på systemet. Log4j används i funktionen Db2 Federation. IBM har släppt ett särskilt fixpaket och begränsningsnoteringar för Db2 version 11.5-system som är sårbara om vissa federationsfunktioner är konfigurerade.

Sedan i onsdags har IBM släppt Log4j-fixar för över ett dussin molnprodukter, som omfattar säkerhet och identitet, analyser, databaser, hanterade VMware-tjänster och Watson AI-produkter. Den har också släppt korrigeringar för 20 lokala IBM-produkter för Cognos business intelligence, Power-hårdvara, WebSphere, Watson och mer.

LOG4J FELTÄCKNING – VAD DU BEHÖVER VETA NU

Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig 
Säkerhetsvarning: Ny noll- dag i Log4j Java-biblioteket utnyttjas redan 
Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”< /strong> 

IBM uppdaterar kontinuerligt listan över produkter som påverkas av felet och de som har bekräftats inte påverkas.

Också dussintals Cisco-produkter påverkas av Log4j. På fredag ​​kommer Cisco att släppa flera firmware- och snabbkorrigeringsuppdateringar som åtgärdar felet, följt av fler uppdateringar planerade under helgen och under veckan därpå fram till den 24 december.

Produkter som är planerade för uppdateringar på fredag ​​inkluderar Cisco Identity Services Engine, DNA Spaces Connector, Cisco BroadWorks och Cisco Finesee. På lördag kommer det att släppa uppdateringar för flera fler produkter inklusive Cisco Contact Center Domain Manager (CCDM), Cisco IOx Fog Director, Cisco Contact Center Management Portal (CCMP), Cisco Unified Communications Manager/Cisco Unified Communications Manager Session Management Edition, Cisco Video Surveillance Operations Manager och Cisco Connected Mobile Experiences (CMX).

VMware uppdaterar också sin lista över påverkade produkter, av vilka de flesta är märkta som “kritiska” med ett CVSS-värde på 10 av 10, och för närvarande markerade som “patch väntande”. Där patchar inte är tillgängliga uppdaterar VMware sina rekommenderade begränsningar för att ta hänsyn till uppdateringar som åtgärdas av Apache Foundations Log4j version 2.16-utgåva, som åtgärdade den ofullständiga patchen som den ursprungligen släppte förra veckan.

VMware hade över 100 produkter som påverkades av buggen populärt känd som Log4Shell och spåras som CVE 2021-44228.

Men virtualiseringsjätten har också släppt en patch för att åtgärda en kritisk icke-Log4j Server Side Request Forgery (SSRF) sårbarhet i sin Workspace ONE Unified Endpoint Management (UEM)-konsol.

Spåras som CVE-2021-22054 , skulle detta fel tillåta en angripare med nätverksåtkomst till UEM att “skicka sina förfrågningar utan autentisering och kan utnyttja detta problem för att få tillgång till känslig information”, enligt VMwares råd.

LOG4J FELSTÄCKNING – VAD DU BEHÖVER VETA NU 

USA varnar Log4j-fel sätter hundratals miljoner enheter i fara
Log4j-fel: Angripare gör tusentals försök att utnyttja denna allvarliga sårbarhet 
Log4j RCE-aktivitet började den 1 december när botnät börjar använda sårbarhet

Sårbarheten fick ett CVSS-poäng på 9,1 av 10, och bör därför läggas till i listan över prioriteringar för patchning innan jullovet . Felet påverkar versionerna 2105, 2012, 2011 och 2008 av Workspace ONE UEM-konsolen.

Cybersecurity and Infrastructure Security Agency och Vita huset varnade i går organisationer i USA för att akta sig för cyberattacker under semesterperioden. Cyberbrottslingar lanserar ofta stora ransomwareattacker på allmänna helgdagar för att dra fördel av skelettbemanning.

CISA har instruerat federala myndigheter att identifiera alla applikationer som påverkas av Log4j-felet senast den 24 december.

CISA har publicerat en lista över leverantörer och produkter som påverkas av Log4Shell-felet. Den nederländska cybersäkerhetsbyrån uppdaterar också en lista över berörda produkter och leverantörer, som den publicerade tidigare i veckan.

Säkerhet

Log4j-hot: Vad du behöver veta och hur man skydda dig själv Ransomware 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjad för att sprida Emotet malware Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 IBM | Säkerhets-TV | Datahantering | CXO | Datacenter