30/03/2021
Vijf cloudinfrastructuur trends voor 2021
Wat gaat 2021 ons brengen op het gebied van de cloud? Vijf cloud infrastructuur trends op een rij.
Nieuws
Eens in de zoveel tijd wordt de IT-wereld opgeschrikt door een beveiligingslek in software dat de hele branche in z’n grip houdt. De risicoanalyse van impact versus kans resulteert in een dieprode, zo niet zwarte kleur: je moet onmiddellijk actie ondernemen. Dit was in het verleden bijvoorbeeld het geval bij de Heartbleed, Shellshock en Poodle kwetsbaarheden. Afgelopen vrijdag kwam daar weer een nieuwe bij: een lek in Apache Log4j dat de naam Log4Shell heeft meegekregen.
Er is een ernstige kwetsbaarheid aangetroffen in de veelgebruikte log4j tool, die gebruikt wordt voor logging van Java-applicaties. De kwetsbaarheid in de software maakt het mogelijk voor niet-geauthentiseerde gebruikers om op afstand op betrekkelijk eenvoudige wijze willekeurige code te injecteren en uit te voeren onder dezelfde rechten als de betreffende Java-applicatie. De software zit in vele honderden, zo niet duizenden softwareproducten en (cloud)applicaties. Het risico op exploits en misbruik werd direct als levensgroot bestempeld.
Toen het lek vrijdag aan het licht kwam zijn we direct aan de slag gegaan om de impact ervan op systemen van onze klanten en onszelf in kaart te brengen. Aan de hand van die inventarisatie hebben wij dezelfde middag een actieplan opgesteld om de kwetsbaarheid te mitigeren en onze klanten geïnformeerd die er (mogelijk of zeker) vatbaar voor waren. Daarna zijn we direct aan de slag gegaan om software te patchen waar dit al kon of andere maatregelen te nemen als er (nog) geen fix voor beschikbaar was. Aangezien het lek ook van toepassing kon zijn bij software die door onze klanten zelf wordt ontwikkeld en in beheer is of bij software afkomstig uit externe bronnen, is er ook een tweede mail gestuurd naar deze klanten en is er proactief contact met ze opgenomen om ze te wijzen op de ernst van de situatie en de noodzaak om zelf actie te ondernemen.
Het gehele weekend is gewerkt aan het updaten van software en het instellen van regels binnen Web Application Firewalls, intrusion detection software en andere toepassingen. Met verschillende klanten staan we in nauw contact om passende maatregelen te nemen.
Afgelopen vrijdag was al duidelijk dat er sprake was van een zeer ernstige situatie. Het kwetsbare component wordt in heel veel verschillende situaties gebruikt, en het misbruik van het geconstateerde probleem is bijzonder eenvoudig. Het risico van het probleem is daarom ingeschaald als 10 op een schaal van 10.
Helaas blijkt inmiddels dat het probleem groter is dan afgelopen vrijdag bekend was. Inmiddels blijkt dat ook de oudere versie 1.x van log4j kwetsbaar is. Weliswaar geldt dat alleen bij zeer specifiek gebruik, maar wanneer die specifieke vorm van gebruik bestaat is het probleem op dezelfde manier te misbruiken. Hoewel versie 1.x van log4j al in 2015 End of Life geworden is en dus niet meer van updates wordt voorzien, zien wij deze versie nog vaak gebruikt worden in applicaties uit externe bronnen. Zeer specifiek voor gebruik van deze versie geldt dat Cyso het probleem niet kan verhelpen. Wanneer je gebruik maakt van een zelf ontwikkelde of extern betrokken applicatie die gebruik maakt van deze oude versie van log4j, dan zullen jouw eigen developers of je leverancier moeten zorgen voor een update.
De situatie omtrent dit probleem is dusdanig ernstig dat het NCSC (Nederlands Cyber Security Center) een actieve rol speelt bij het verzamelen en beschikbaar stellen van informatie. Op GitHub stellen zij deze informatie beschikbaar. Het gaat hierbij om informatie over het al dan niet kwetsbaar zijn van een grote verscheidenheid aan software, de status van eventuele updates die beschikbaar worden gemaakt voor kwetsbare software, en informatie over hosts op het Internet die betrokken zijn bij het misbruiken van deze kwetsbaarheid.
Wij adviseren al onze klanten dringend om deze lijst meteen en daarna ook regelmatig te controleren. Indien je op deze lijst software aantreft die bij jou in gebruik is, dan is het cruciaal dat je eventuele updates die beschikbaar zijn onmiddellijk installeert. Wanneer je kwetsbare software gebruikt waarvoor nog geen update beschikbaar is, dan zul je serieus moeten overwegen welke mitigerende maatregelen nodig zijn om misbruik te voorkomen. Daarbij zou je ook expliciet moeten overwegen om de software uit te schakelen totdat een update beschikbaar is.
Wij hebben afgelopen vrijdag alle klanten waarvan wij constateerden dat zij Java gebruiken op de door Cyso beheerde systemen geïnformeerd over de mogelijke kwetsbaarheid. Vervolgens hebben wij geïnventariseerd welke van deze klanten gebruik maakten van log4j, en daar waar mogelijk patches of workarounds toegepast. Dat betrof patches en workarounds voor software die door Cyso geïnstalleerd en beheerd wordt. Vervolgens hebben wij geïnventariseerd op welke systemen kwetsbare software aanwezig was die niet door Cyso geïnstalleerd en beheerd wordt. Eigenaren van deze systemen hebben van ons een tweede e-mail ontvangen, waarin wij hen er zeer expliciet op gewezen hebben dat zij hierop actie moesten ondernemen. Deze klanten hebben wij gisteren en vandaag ook nog gebeld als wij op de verstuurde e-mail geen reactie hadden ontvangen.
Cyso houdt zeer actief bij welke updates beschikbaar komen voor packages en software die onder zijn verantwoordelijkheid vallen, en zorgt ervoor dat deze zo snel mogelijk geïnstalleerd worden. Helaas geldt dat, hoewel updates voor deze software relatief snel beschikbaar komen, de updates voor software uit met name externe bron vaak langer op zich laten wachten. Dat houdt in dat er sprake blijft van een situatie met een hoog risico op misbruik. Cyso volgt daarom op dit moment een meersporenbeleid:
Over bovenstaande maatregelen moeten we realistisch zijn. Zolang kwetsbare software niet vervangen is, bestaat het risico op misbruik van dit lek. Wij en anderen zien daadwerkelijk dat er actief geprobeerd wordt om dit probleem te misbruiken. Er is geen garantie dat misbruik meteen of überhaupt gedetecteerd wordt. Wanneer misbruik wel gedetecteerd wordt is er geen garantie dat we erachter komen wat daarvan de consequenties zijn. Dat kan leiden tot de conclusie dat de enige manier om systemen weer veilig te krijgen, is om deze vanuit back-up terug te zetten of zelfs opnieuw te installeren.
Cyso werkt met man en macht om de gevolgen van deze kwetsbaarheid te beperken. Dat lukt echter alleen met jouw medewerking. We vragen onze klanten met klem om de informatie op de log4shell informatie van het NCSC heel goed te lezen en te bepalen of deze van toepassing is op jouw servers en/of software.
Kijk daarbij met name naar de lijst met software op: https://github.com/NCSC-NL/log4shell/tree/main/software. Bevraag je eigen developers en/of leveranciers en sta er op een duidelijk antwoord op je vragen te krijgen.