De Log4Shell kwetsbaarheid

De Log4Shell kwetsbaarheid

14 December 2021 in Nieuws Security

Eens in de zoveel tijd wordt de IT-wereld opgeschrikt door een beveiligingslek in software dat de hele branche in z’n grip houdt. De risicoanalyse van impact versus kans resulteert in een dieprode, zo niet zwarte kleur: je moet onmiddellijk actie ondernemen. Dit was in het verleden bijvoorbeeld het geval bij de Heartbleed, Shellshock en Poodle kwetsbaarheden. Afgelopen vrijdag kwam daar weer een nieuwe bij: een lek in Apache Log4j dat de naam Log4Shell heeft meegekregen.

Wat is er aan de hand?

Er is een ernstige kwetsbaarheid aangetroffen in de veelgebruikte log4j tool, die gebruikt wordt voor logging van Java-applicaties. De kwetsbaarheid in de software maakt het mogelijk voor niet-geauthentiseerde gebruikers om op afstand op betrekkelijk eenvoudige wijze willekeurige code te injecteren en uit te voeren onder dezelfde rechten als de betreffende Java-applicatie. De software zit in vele honderden, zo niet duizenden softwareproducten en (cloud)applicaties. Het risico op exploits en misbruik werd direct als levensgroot bestempeld.

Vanaf vrijdag zijn we hiermee aan het werk

Toen het lek vrijdag aan het licht kwam zijn we direct aan de slag gegaan om de impact ervan op systemen van onze klanten en onszelf in kaart te brengen. Aan de hand van die inventarisatie hebben wij dezelfde middag een actieplan opgesteld om de kwetsbaarheid te mitigeren en onze klanten geïnformeerd die er (mogelijk of zeker) vatbaar voor waren. Daarna zijn we direct aan de slag gegaan om software te patchen waar dit al kon of andere maatregelen te nemen als er (nog) geen fix voor beschikbaar was. Aangezien het lek ook van toepassing kon zijn bij software die door onze klanten zelf wordt ontwikkeld en in beheer is of bij software afkomstig uit externe bronnen, is er ook een tweede mail gestuurd naar deze klanten en is er proactief contact met ze opgenomen om ze te wijzen op de ernst van de situatie en de noodzaak om zelf actie te ondernemen.

Het gehele weekend is gewerkt aan het updaten van software en het instellen van regels binnen Web Application Firewalls, intrusion detection software en andere toepassingen. Met verschillende klanten staan we in nauw contact om passende maatregelen te nemen.

De situatie blijkt nog ernstiger dan eerst gedacht

Afgelopen vrijdag was al duidelijk dat er sprake was van een zeer ernstige situatie. Het kwetsbare component wordt in heel veel verschillende situaties gebruikt, en het misbruik van het geconstateerde probleem is bijzonder eenvoudig. Het risico van het probleem is daarom ingeschaald als 10 op een schaal van 10.

Helaas blijkt inmiddels dat het probleem groter is dan afgelopen vrijdag bekend was. Inmiddels blijkt dat ook de oudere versie 1.x van log4j kwetsbaar is. Weliswaar geldt dat alleen bij zeer specifiek gebruik, maar wanneer die specifieke vorm van gebruik bestaat is het probleem op dezelfde manier te misbruiken. Hoewel versie 1.x van log4j al in 2015 End of Life geworden is en dus niet meer van updates wordt voorzien, zien wij deze versie nog vaak gebruikt worden in applicaties uit externe bronnen. Zeer specifiek voor gebruik van deze versie geldt dat Cyso het probleem niet kan verhelpen. Wanneer je gebruik maakt van een zelf ontwikkelde of extern betrokken applicatie die gebruik maakt van deze oude versie van log4j, dan zullen jouw eigen developers of je leverancier moeten zorgen voor een update.

Het NCSC vervult een actieve rol bij dit probleem

De situatie omtrent dit probleem is dusdanig ernstig dat het NCSC (Nederlands Cyber Security Center) een actieve rol speelt bij het verzamelen en beschikbaar stellen van informatie. Op GitHub stellen zij deze informatie beschikbaar. Het gaat hierbij om informatie over het al dan niet kwetsbaar zijn van een grote verscheidenheid aan software, de status van eventuele updates die beschikbaar worden gemaakt voor kwetsbare software, en informatie over hosts op het Internet die betrokken zijn bij het misbruiken van deze kwetsbaarheid.

Eigen software? Jij moet actie ondernemen!

Wij adviseren al onze klanten dringend om deze lijst meteen en daarna ook regelmatig te controleren. Indien je op deze lijst software aantreft die bij jou in gebruik is, dan is het cruciaal dat je eventuele updates die beschikbaar zijn onmiddellijk installeert. Wanneer je kwetsbare software gebruikt waarvoor nog geen update beschikbaar is, dan zul je serieus moeten overwegen welke mitigerende maatregelen nodig zijn om misbruik te voorkomen. Daarbij zou je ook expliciet moeten overwegen om de software uit te schakelen totdat een update beschikbaar is.

Wij hebben afgelopen vrijdag alle klanten waarvan wij constateerden dat zij Java gebruiken op de door Cyso beheerde systemen geïnformeerd over de mogelijke kwetsbaarheid. Vervolgens hebben wij geïnventariseerd welke van deze klanten gebruik maakten van log4j, en daar waar mogelijk patches of workarounds toegepast. Dat betrof patches en workarounds voor software die door Cyso geïnstalleerd en beheerd wordt. Vervolgens hebben wij geïnventariseerd op welke systemen kwetsbare software aanwezig was die niet door Cyso geïnstalleerd en beheerd wordt. Eigenaren van deze systemen hebben van ons een tweede e-mail ontvangen, waarin wij hen er zeer expliciet op gewezen hebben dat zij hierop actie moesten ondernemen. Deze klanten hebben wij gisteren en vandaag ook nog gebeld als wij op de verstuurde e-mail geen reactie hadden ontvangen.

En nu?

Cyso houdt zeer actief bij welke updates beschikbaar komen voor packages en software die onder zijn verantwoordelijkheid vallen, en zorgt ervoor dat deze zo snel mogelijk geïnstalleerd worden. Helaas geldt dat, hoewel updates voor deze software relatief snel beschikbaar komen, de updates voor software uit met name externe bron vaak langer op zich laten wachten. Dat houdt in dat er sprake blijft van een situatie met een hoog risico op misbruik. Cyso volgt daarom op dit moment een meersporenbeleid:

  • Zo veilig mogelijk maken van software die onder verantwoording van Cyso valt
    • Installeren van beschikbare updates
    • Toepassen van workarounds op configuratie van software waarvoor nog geen updates beschikbaar zijn
  • Mitigerende maatregelen
    • Rules installeren op WAF/SIEM omgevingen bij die klanten die deze dienst van Cyso afnemen
    • Up-to-date houden van virusdefinities van antivirus software
  • Detectie van misbruik

Consequenties van misbruik

Over bovenstaande maatregelen moeten we realistisch zijn. Zolang kwetsbare software niet vervangen is, bestaat het risico op misbruik van dit lek. Wij en anderen zien daadwerkelijk dat er actief geprobeerd wordt om dit probleem te misbruiken. Er is geen garantie dat misbruik meteen of überhaupt gedetecteerd wordt. Wanneer misbruik wel gedetecteerd wordt is er geen garantie dat we erachter komen wat daarvan de consequenties zijn. Dat kan leiden tot de conclusie dat de enige manier om systemen weer veilig te krijgen, is om deze vanuit back-up terug te zetten of zelfs opnieuw te installeren.

Jouw medewerking is noodzakelijk

Cyso werkt met man en macht om de gevolgen van deze kwetsbaarheid te beperken. Dat lukt echter alleen met jouw medewerking. We vragen onze klanten met klem om de informatie op de log4shell informatie van het NCSC heel goed te lezen en te bepalen of deze van toepassing is op jouw servers en/of software.
Kijk daarbij met name naar de lijst met software op: https://github.com/NCSC-NL/log4shell/tree/main/software
Bevraag je eigen developers en/of leveranciers en sta er op een duidelijk antwoord op je vragen te krijgen.

Vragen? Neem contact op

Als je vragen hebt over de impact voor Log4Shell op jouw systemen of hoe wij jouw systemen daartegen beschermen, aarzel niet om contact met ons op te nemen.

Neem contact met ons op


Bel me terug