Ernstige kwetsbaarheid ontdekt in Apache Log4j

Er is een ernstige kwetsbaarheid ontdekt in Apache Log4j, een Java log-tool die in zeer veel applicaties wordt gebruikt. Omdat niet in te schatten is welke rechten de bovenliggende applicatie heeft en doordat de aanvaller willekeurig code op afstand kan injecteren en uitvoeren is de mogelijke gevolgschade niet in te schatten, waardoor het NCSC de impact inschaalt als HIGH/HIGH. Dat betekent dat de kans groot is dat cybercriminelen hier misbruik van maken en de mogelijke schade die hieruit voortvloeit groot kan zijn.

Omdat wij het belangrijk vinden om u accuraat te voorzien van informatie die essentieel is voor de bescherming van uw ICT-omgeving ontvangt u deze belangrijke melding, inclusief het advies van onze IT-Security specialisten.

Het risico

De kwetsbare Log4j wordt vaak gebundeld met andere softwarepakketten wordt tevens vaak gebruikt in combinatie met Apache software. Deze specifieke CVE treft alle versies van Log4j van 2.0-beta9 tot 2.14. Om misbruik te maken van de bekendgemaakte kwetsbaarheid behoeft een aanvaller zich niet vooraf te identificeren maar kan er zonder gebruik te maken van gebruikersnaam/wachtwoord code worden uitgevoerd met dezelfde rechten als de bovenliggende applicatie.

Naam: Log4Shell
CVE*: CVE-2021-44228

* (CVE = Common Vulnerabilities and Exposures, een databank met informatie over IT kwetsbaarheden)

Ons advies

Op dit moment is niet inzichtelijk welke applicaties en diensten allemaal gebruik maken van Log4j, maar het is aannemelijk dat applicaties en diensten die gebruik maken van of geheel geschreven zijn in Java, geschreven zijn met Log4j als logging-module. Wanneer deze applicatie gebruikers-input verwerkt waarin url-achtige constructies (zoals Jdni:ldap) voorkomen, kan worden aangenomen dat deze applicatie daarmee kwetsbaar is voor misbruik. Belangrijk om te weten is dat ook andere systemen (zoals storage units) gebruiken kunnen maken van de kwetsbare module.

Een actueel overzicht van beschikbare updates is te vinden op de GitHub van het NCSC. [Link]. Belangrijk: op deze pagina worden als eerst nieuwe beschikbare updates gemeld. Wij adviseren u dringend om zeer regelmatig te bekijken of er applicaties worden getoond die uw organisatie gebruikt.

Apache heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Versie 2.16 is beschikbaar bij Apache zelf [Link]

Source code patches die de kwetsbaarheid verhelpen zijn te verkrijgen via de GitHub van het Log4j project [Link]

Als mitigerende maatregel kan de applicatie opnieuw opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data.

Gezien de complexiteit van de updates wordt geadviseerd dit te laten verzorgen door een gespecialiseerde IT-consultant.

Update 17 december

De uitdaging waar veel IT-verantwoordelijken momenteel mee te maken krijgen is dat veel IT- en softwareleveranciers, die gebruik maken van de kwetsbare software, nog geen workarounds of updates hebben uitgebracht. Een aantal leveranciers heeft de verwachting uitgesproken dat in de laatste week van december patches beschikbaar worden gesteld.
Dit verschilt per applicatie, maar de algehele strekking is dat het 1 tot 2 weken zal gaan duren, totdat daadwerkelijk de kwetsbare software kan worden bijgewerkt.

Diverse kwetsbare applicaties hebben daardoor momenteel geen toepasbare oplossing die haalbaar is om in te zetten. ACA houdt de beschikbaarheid van updates nauwlettend in de gaten. Zodra er oplossingen beschikbaar zijn, op wat voor manier dan ook, dan zullen wij deze beoordelen en daarna in overleg doorvoeren. Tot dat moment wordt per case bekeken wat de best passende (tijdelijke) oplossing is. Wilt u advies over de situatie en oplossing die voor uw organisatie het best passend is, neem dan even contact op.

Ondersteuning door ACA IT-Solutions

Op dit moment is ten dele bekend welke applicaties kwetsbaar zijn. Op basis hiervan voert ACA IT-Solutions met hoge urgentie de benodigde patches en/of updates door. Er komt steeds nieuwe informatie beschikbaar over getroffen applicaties. ACA IT-Solutions houdt de ontwikkelingen nauwlettend in de gaten en acteert waar nodig voor opdrachtgevers waarvoor wij genoemde applicaties en/of het beheer daarvan actief verzorgen. Dit wordt afgestemd met de IT-verantwoordelijke van uw organisatie.

Behoort uw organisatie niet tot de groep opdrachtgevers zoals hierboven beschreven, bijvoorbeeld omdat u zelf uw beheer verzorgt of applicaties in het verleden elders heeft ondergebracht? Of beschikt u over een applicatie waarvan u weet dat deze nu kwetsbaar is? Neem dan z.s.m. contact met ons op. Ons advies is om beschikbare updates gecontroleerd uit te laten voeren door een gespecialiseerde organisatie. Heeft u hierbij hulp nodig van onze specialisten? Wij helpen u hier graag bij.

Heeft u vragen over deze melding of wilt u weten welke risico’s dit meebrengt voor uw organisatie? Neem dan even contact op met de ACA Servicedesk via 040-8449911 of support@aca-it.nl.

Is uw organisatie op dit moment veilig?

Zoals aangegeven heeft het NCSC deze kwetsbaarheid als zeer risicovol aangemerkt. Organisaties die de beschikbare updates nog niet hebben voltooid zijn derhalve op dit moment niet veilig en vormen een potentieel doelwit voor kwaadwillende.

Twijfelt u of uw reeds bent aangevallen, constateert u verdachte activiteiten op uw bedrijfsnetwerk of wilt u graag zekerheid? ACA IT-Solutions kan een vulnerability scan uitvoeren en u hiervan een rapport opleveren.

Hiermee krijgt u direct een totaalbeeld van de ‘gezondheid’ van uw netwerk. Deze scan heeft een reactieve werking en kan tevens dienen als 0-meting voor een proactieve aanpak middels de ACA vulnerability management tool. Hiermee wordt uw omgeving continu (jaarrond) en proactief gescand op kwetsbaarheden. Neem voor meer informatie hierover contact met ons op.