Artikel:

UPDATE: Kritieke kwetsbaarheid in Apache Log4J treft veel organisaties

14 december 2021

Op 9 december werden instructies gepubliceerd waarmee internetcriminelen een kritieke kwetsbaarheid in Apache Log4j – een Java-based logging tool – kunnen misbruiken. Inmiddels is duidelijk dat dit (CVE-2021-44228) zeer veel producten en organisaties treft, en actief wordt aangevallen. Het NCSC geeft aan dat organisaties zich voor te bereiden op misbruik. In deze update geeft BDO informatie en instructies over hoe organisaties hiermee om kunnen gaan. 

Wat is Log4j? 

Log4j is een java-based logging tool dat in veel software aanwezig is, en hierdoor niet altijd voor het oog zichtbaar is. Voorbeelden van getroffen producten zijn Azure, Cisco routers en VMWare. De ontwikkelaar van Apache Log4j heeft deze kwetsbaarheid erkend en de hoogste risico score (10) gegeven. Dit houdt in dat de kans op misbruik en mogelijke gevolgschade als zeer hoog wordt beoordeeld. Dit wordt bevestigd door het Nationaal Cyber Security Centrum (NCSC). Een aanvaller kan bij misbruik de volledige controle krijgen over de server waar dit component aanwezig is. Doordat aanvallen momenteel actief gaande zijn, is het belangrijk dat direct mitigerende maatregelen worden genomen. 

Om welke applicaties gaat het? 

De Java-based logging tool Log4j wordt in veel installaties van Apache en andere Java frameworks gebruikt. Iedere omgeving is mogelijk kwetsbaar waarin gebruikgemaakt wordt van Apache Log4j 2.0-beta9 tot en met 2.15.0-rc1. Log4j wordt veel gebruikt in Enterprise Java software, en komt voor in applicaties zoals:

  • Apache Struts2;
  • Apache Solr;
  • VMWare vCenter;
  • Elastic Search; 

Het NCSC heeft een lijst van getroffen software gepubliceerd op deze pagina.

Wat is de impact van deze kwetsbaarheid?

Aanvallers kunnen een gemodificeerd digitaal bericht (pakket) naar een kwetsbare server versturen. Doordat Log4j dit bericht niet op een juiste wijze verwerkt, zal Log4j een verzoek sturen naar een - door de aanvaller gekozen - server om een bestand te raadplegen. De inhoud van dit bestand wordt vervolgens uitgevoerd door de applicatie. Een aanvaller kan in dit bestand een kwaadaardige code stoppen om de server te compromitteren. Er wordt verwacht dat dit op korte termijn wordt voor grote verstoringen kan leiden door bijvoorbeeld de verspreiding van ransomware. Zo waarschuwt Duitsland voor uitval van diensten en heeft ‘Code Rood’ afgekondigd, en halen diverse organisaties uit voorzorg al systemen offline. 

Wat moet ik doen?

Wees ervan bewust dat aanvallers momenteel actief opzoek zijn naar manieren om de kwetsbaarheid te misbruiken. Het is daarom belangrijk dat de onderstaande stappen met spoed worden uitgevoerd: 

Stap 1: identificeer of softwarecomponenten met een kwetsbare versie van Log4j in uw infrastructuur aanwezig zijn. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar, en is er een lijst beschikbaar van software waarin de kwetsbaarheid is geïdentificeerd. Wees ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk. Omdat Log4j een component kan zijn binnen aanwezige applicaties, kan het daardoor niet direct opvallen;

Stap 2: indien er een kwetsbaar softwarecomponent aanwezig is in een product van een derde partij, raadpleeg de instructies van de leverancier en voer deze met urgentie uit. Als er geen instructies aanwezig zijn, overweeg om kwetsbare componenten te isoleren van overige infrastructuur totdat er instructies beschikbaar zijn. 

Stap 2-a: indien er een kwetsbaar component aanwezig is en de organisatie toegang tot de broncode en/of configuratie heeft, overweeg dan een van de onderstaande handelingen uit te voeren om de kwetsbaarheid te mitigeren; 

  • Apache Log4j bij te werken naar versie 2.15.0-rc2 of versie 2.16.0
  • Versie 2.10 en hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true 
  • Versie 2.7 en hoger: gebruik %m{nolookups} in de PatternLayout configuratie 
  • Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar

Stap 3: controleer kwetsbare systemen en logbronnen (zoals een firewall) op sporen van misbruik, en vraag eventueel uw leverancier/partner om dit onderzoek uit te voeren. Hierbij is belangrijk dat er wordt gekeken naar sporen vanaf 1 december 2021. Een indicatie van een potentieel misbruik is als volgt: 

  • Wanneer er systeemactiviteit op de bestanden log4j-api.jar en log4j-core.jar zichtbaar is.
  • Afwijkende strings in logbestanden van gebruikers zoals "Jndi:ldap".

Stap 4: zorg voor de juiste detectiemaatregelen om (sporen van) potentieel misbruik inzichtelijk te maken en houden. Verschillende organisaties bieden detectiemaatregelen aan voor firewall producten. Voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden, maar het biedt inzicht in de aanwezigheid en reikwijdte van een aanval zodat hierop kan worden gereageerd.

Stap 5: wees voorbereid op een cyber incident. Het NCSC raadt organisaties aan om zich voor te bereiden op de gevolgen van misbruik. De kwetsbaarheid kan bijvoorbeeld worden gebruikt om een ransomware-aanval uit te voeren. Wij adviseren om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en uw back-ups op orde te hebben. 

Hoe kan BDO helpen?  

Het Cyber Security team van BDO Digital staat altijd klaar om klanten te ondersteunen op het gebied van digitale veiligheid, op zowel technisch als organisatorisch vlak. In het geval van dit incident kunnen wij ondersteunen bij de uitvoer van de beschreven stappen, door het leveren van de juiste middelen en expertise. Ook kunnen wij organisaties helpen bij het treffen, testen en evalueren van de juiste voorbereidingen, zoals processen voor IT beheer, detectie en incident response. Neem voor meer informatie contact op met één van onze specialisten.