Ny sårbarhet i Java sammenlignes med Log4Shell - nå bør du oppdatere

- Alle som kjører sårbare versjoner av Java vil kunne være utsatt for angrep, mener penetrasjonstester.

Veldig mange benytter Java i sine tech-stacks, noe som ble veldig synlig med log4j, så det er på mange måter mye det samme som skjer nå bare at naturen til sårbarheten er litt annerledes, forteller Erik Vetle Larsen. 📸: Bjørn Erik Larsen / Unsplash / kode24
Veldig mange benytter Java i sine tech-stacks, noe som ble veldig synlig med log4j, så det er på mange måter mye det samme som skjer nå bare at naturen til sårbarheten er litt annerledes, forteller Erik Vetle Larsen. 📸: Bjørn Erik Larsen / Unsplash / kode24 Vis mer

- Alle som kjører sårbare versjoner av Java vil kunne være utsatte for angrep, hvor aktører trivielt forbigår autentiseringsmekanikkene i deres applikasjoner. Det bare er snakk om tid før det inntreffer, sier Erik Vetle Larsen, seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons, til kode24.

Forrige uke kom nyheten om det var blitt oppdaget et kritisk sikkerhetsproblem i Oracles Java-rammeverk.

Denne sårbarheten, som kalles CVE-2022-21449, har opphav i et problem hos Java-versjonene 15, 16, 17 og 18 sin implementering av ECDSA-signering. Oracle oppgir selv bare versjonene 17 og 18, ettersom at 15 og 16 ikke lenger er støttet.

Kryptografi-feilen gjør at hackere kan forfalske visse typer SSL-sertifikater, handshakes, signerte JWT-er, SAML-assertions, OIDC ID-tokens og WebAuthn-autentiseringsmeldinger. Disse falske sertifikatene vil bli oppfattet som gyldige av Java.

Oracle har retta sårbarheten, men mange utviklere kan fremdeles være utsatt, ifølge Larsen.

Kan sammenlignes med Log4Shell

Ifølge Larsen betyr sårbarheten at angriperne har "en drøss med muligheter" til å forbigå autentiseringsmekanikker som benytter ECDSA-signering.

- Dem er det ganske mange av, samt at man vil kunne snappe opp, lese og redigere kryptert kommunikasjon som benytter ECDSA-signering, sier han.

Larsen mener det kan sammenlignes med sårbarheten i Log4J, kalt Log4Shell, ettersom begge stammer fra Java og har kritiske konsekvenser.

- Forskjellen er fort at i Log4Shell var det så enkelt som å "bare" peke et angrep på en sårbar tjeneste, og så være i mål.

«Hvis du kjører en sårbar versjon av Java bør du oppdatere til siste versjon så snart som mulig.»

Gir deg ikke automatisk full tilgang

Med CVE-2022-21449 vil man kunne forbigå autentisering, som fort kan være like kritisk som Log4Shell. Men det gir ikke hackerne automatisk full tilgang til tjenesten, forteller sikkerhetseksperten.

- I tillegg var Log4Shell en sårbarhet i et opensource-prosjekt, mens denne er i Oracle sin egen kodebase, noe som gjør at økosystemet rundt den påvirkede kodebasen opererer litt annerledes.

- Hvilke konsekvenser kan den få for norske utviklere?

- Veldig mange bruker Java i sine stack-er, noe som ble veldig synlig med Log4J-hullet, så det er på mange måter mye det samme som skjer nå. Bare at naturen til sårbarheten er litt annerledes, sier han.

Oppdater nå!

- Hva bør norske utviklere gjøre for å beskytte seg mot sårbarheten?

- Oracle har allerede patchet denne sårbarheten, så hvis du kjører en sårbar versjon av Java, bør du oppdatere til siste versjon så snart som mulig.

Larsen legger til at ettersom sårbarheten ligger i Javas egen implementasjon, så er det lite annet man kan gjøre.

- Men det vil fort være arbeid nok å patche, som man også så med Log4Shell.