Apache Log4j kwetsbaarheid
Deze liveblog bevat informatie over kwetsbaarheden in Apache Log4j. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 31 januari 2022.
T-Update
Deze liveblog bevat informatie over kwetsbaarheden in Apache Log4j. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 31 januari 2022.
Status per Tesorion-vendor
Wanneer een Tesorion-vendor een uitspraak heeft gedaan over de kwetsbaarheid ten aanzien van haar portfolio hebben we die hieronder opgenomen. Bronnen: github.com/NCSC-NL/log4shell/tree/main/software en gist.github.com/SwitHak.
Update 31 januari 2022
17:30 | Op 9 december 2021 is een Proof-of-Concept (POC) exploit voor de Apache Log4J library gepubliceerd. Het misbruiken van deze POC exploit is eenvoudig. Echter, voor een succesvolle exploitatie van een op Log4J gebaseerde applicatie, moet de exploit op maat worden gemaakt.
Sinds de publicatie van de POC exploit maken aanvallers actief misbruik van op internet ontsloten VMware Horizon en MobileIron applicaties. Vorige week verscheen een nieuwsartikel waarin beschreven werd dat aanvallers actief misbruik maken van de Log4j kwetsbaarheid aanwezig in Unifi Netwerk applicaties. De Unifi Network applicatie wordt gebruikt om Ubiquiti software en hardware oplossingen te beheren.
Wij adviseren om de beschikbare patches voor de genoemde producten zo snel mogelijk te installeren. Als een van deze producten op internet ontsloten is zonder de beschikbare patches of aanvullende maatregelen, moet deze als gecompromitteerd worden beschouwd en zijn er aanvullende maatregelen nodig. Exploits voor de Log4j-kwetsbaarheden zijn applicatie specifiek en vereisen specifieke aanpassingen per applicatie. Naar verwachting zullen in de loop van de tijd meer exploits voor andere applicaties worden gepubliceerd.
| CVE | Omschrijving | Kwetsbare versie | Verholpen in versie |
|---|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 | Java8 of later: 2.15.0 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4J versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 | - |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
Java8 of later: 2.16.0 |
| CVE-2021-45105 | DoS kwetsbaarheid. | Log4j versie 2 <= 2.16.0 |
Java8 of later: 2.17.0 |
| CVE-2021-44832 | RCE kwetsbaarheid, na toevoegen JDBC Appender in configuratiebestand. | Log4j versie 2 <= 2.17.0 |
Java8 of later: 2.17.1 |
Update 29 december 2021
10:30 | De Apache Foundation heeft een nieuwe update uitgebracht voor Log4J. Het gaat om versie 2.17.1. Gisteren werd al bekend dat alle versies vanaf 2.0-alpha7 mogelijk kwetsbaar zouden zijn voor een Remote Code Execution aanval. Dit is inmiddels bevestigd en de kwetsbaarheid is geregistreerd als CVE-2021-44832 met een CVSS-score van 6.6.
Op basis van de huidige informatie lijkt de kwetsbaarheid alleen uit te buiten wanneer een aanvaller het configuratiebestand van Log4J kan aanpassen. Om het configuratiebestand aan te passen heeft de aanvaller toegang nodig tot het bestand en de juiste rechten om wijzingen door te voeren.
Wanneer u nog gebruik maakt van versie 2.15.0 (of lager), is het advies direct te updaten naar versie 2.17.1. Op basis van de huidige informatie lijkt het niet noodzakelijk om versie 2.16.0 of 2.17.0 met spoed bij te werken naar versie 2.17.1. Deze kwetsbaarheid is voor Java6 verholpen in versie 2.3.2 en voor Java7 in versie 2.12.4
Meer informatie:
| CVE | Omschrijving | Kwetsbare versie | Verholpen in versie |
|---|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 | Java8 of later: 2.15.0 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4J versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 | - |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
Java8 of later: 2.16.0 |
| CVE-2021-45105 | DoS kwetsbaarheid. | Log4j versie 2 <= 2.16.0 |
Java8 of later: 2.17.0 |
| CVE-2021-44832 | RCE kwetsbaarheid, na toevoegen JDBC Appender in configuratiebestand. | Log4j versie 2 <= 2.17.0 |
Java8 of later: 2.17.1 |
Update 18 december 2021
15:00 | NCSC heeft verschillende overzichten gepubliceerd die in een samenwerking met verschillende cybersecuritybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software:
https://github.com/NCSC-NL/log4shell/tree/main/software - Een overzicht van scripts/applicaties om misbruik van kwetsbare Log4j implementaties op te sporen.
https://github.com/NCSC-NL/log4shell/tree/main/ - Een overzicht van scripts/applicaties om de aanwezigheid van kwetsbare Log4j implementaties te detecteren.
https://github.com/NCSC-NL/log4shell/tree/main/scanning
Update Log4J 2.17.0
De Apache Foundation heeft een nieuwe update uitgebracht voor Log4J. Het gaat om versie 2.17.0. Gisteren werd al bekend dat alle versies vanaf 2.0-beta9 mogelijk kwetsbaar zouden zijn voor een Denial-of-Service (DOS) aanval. Dit is inmiddels bevestigd en de kwetsbaarheid is geregistreerd als CVE-2021-45105 met een CVSS-score van 7.5.
Op basis van de huidige informatie lijkt de kwetsbaarheid alleen uit te buiten wanneer een non-default configuratie wordt gebruikt. Wanneer u nog gebruik maakt van versie 2.15.0 (of lager), is het advies direct te updaten naar versie 2.17.0. Op basis van de huidige informatie lijkt het niet noodzakelijk om versie 2.16.0 met spoed bij te werken naar versie 2.17.0.
| CVE | Omschrijving | Versie |
|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4j versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
| CVE-2021-45105 | DoS kwetsbaarheid | Log4j versie 2 <= 2.16.0 |
Update 17 december 2021
15:00 | NCSC heeft verschillende overzichten gepubliceerd die in een samenwerking met verschillende cybersecuritybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software:
https://github.com/NCSC-NL/log4shell/tree/main/software - Een overzicht van scripts/applicaties om misbruik van kwetsbare Log4j implementaties op te sporen.
https://github.com/NCSC-NL/log4shell/tree/main/ - Een overzicht van scripts/applicaties om de aanwezigheid van kwetsbare Log4j implementaties te detecteren.
https://github.com/NCSC-NL/log4shell/tree/main/scanning
De CVSS-score van CVE-2021-45046 is verhoogd
De Apache Foundation heeft de CVSS-score van CVE-2021-45046 verhoogd van 3.7 naar 9. Initieel was bekend dat de kwetsbaarheid misbruikt kan worden voor een Denial-of-Service (DOS) aanval. Eerder onderzoek liet ook de mogelijkheid voor Data Exfiltratie zien. Nader onderzoek heeft aangetoond dat ook Unauthenticated Remote Code Execution mogelijk is. Deze kwetsbaarheid geeft de aanvaller de mogelijkheid om op afstand code uit te voeren, wat een significant hogere impact heeft. De CVSS-schaal loopt van 0 tot 10.
CVE-2021-45046 kan alleen worden misbruikt wanneer een niet standaard configuratie wordt gebruikt. Alle versies van Log4j van 2.0 tot en met 2.15.0 zijn kwetsbaar.
Stappenplan scannen met Nextron THOR Lite
Onze partner Nextron deelt al sinds het bekend worden van de Log4J kwetsbaarheid, methodes om misbruik van systemen waar te nemen op basis van logbestanden. Deze detectie kennis is tevens opgenomen in de Nextron THOR Lite scanner. Deze scanner vereist een registratie, maar is gratis te gebruiken:
- Ga naar de website van Nextron, druk op de Subscribe and Download knop en volg de instructies;
- Plaats de THOR bestanden met het licentie bestand op het te scannen systeem;
- Update de signatures van de scanner:
- Windows: thor-lite-util.exe update
- Linux: ./thor-lite-util update
- Voer via de command-line het THOR bestand uit als administrator/root:
- Windows: thor64-lite.exe –allreasons –allhds
- Linux: sudo ./thor-lite-linux-64 –allreasons
- Na afronding van de scan worden er een aantal rapport bestanden (.html, .csv, .txt) gemaakt. Open het .html-bestand en analyseer de output op sporen van misbruik.
- Indien sporen van misbruik worden waargenomen is ons advies om kruisvalidatie te doen met informatie uit andere logbronnen:
- Firewall logging – Uitgaande verbindingen naar de IP adressen/hostnames zoals opgenomen in de THOR resultaten.
- DNS logging – Resolving voor de hostnames zoals opgenomen in de THOR resultaten.
- Afwijkende activiteiten in de logbestanden van de betreffende Java-applicatie. Het gaat hier om log bestanden geschreven door de Log4j library. Zoek specifiek naar lege/afwijkende logregels.
- Zijn er andere sporen van misbruik op het system buiten Log4Shell? Denk aan: virusscanner meldingen, nieuwe gebruikersaccounts, afwijkende processen, hoog resource gebruik.
| CVE | Omschrijving | Versie |
|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4j versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
Call to Action
- Stel vast welke applicaties worden gebruikt binnen uw organisatie.
- Neem hier ook client applicaties in mee.
- Ga na welke applicaties kwetsbaar zijn.
- Een overzicht van mogelijk getroffen software- https://github.com/NCSC-NL/log4shell/tree/main/software
- Lokale scan om de kwetsbare Log4j library op het bestandssysteem te vinden – https://github.com/logpresso/CVE-2021-44228-Scanner
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Beperk netwerkverbindingen wanneer een patch of workaround niet beschikbaar zijn.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
- Stel logbestanden van Java gebaseerde en gerelateerde toepassingen veilig voor toekomstig (forensisch) onderzoek. Volledige systeemback-ups zijn een goede methode om alle relevante logbronnen veilig te stellen.
- Een werkende back-up is in het algemeen een goede gewoonte en helemaal in de huidige situatie.
- Voer een scan uit met de Nextron Thor Lite scanner op mogelijk getroffen systemen om eventueel misbruik vast te stellen.
Update 16 december 2021
12:00 | NCSC heeft verschillende overzichten gepubliceerd die in een samenwerking met verschillende cybersecuritybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software:
https://github.com/NCSC-NL/log4shell/tree/main/software - Een overzicht van scripts/applicaties om misbruik van kwetsbare Log4j implementaties op te sporen.
https://github.com/NCSC-NL/log4shell/tree/main/ - Een overzicht van scripts/applicaties om de aanwezigheid van kwetsbare Log4j implementaties te detecteren.
https://github.com/NCSC-NL/log4shell/tree/main/scanning
Versie 2.15.0 – Lekken environment variabelen
In een eerdere update schreven we over de mogelijkheid tot het exfiltreren van informatie die is opgeslagen in zogenaamde environment variabelen middels de Log4Shell kwetsbaarheid. Deze variabelen kunnen gevoelige informatie bevatten, zoals wachtwoorden of API keys.
Uit analyse blijkt dat Log4j versie 2.15.0 hiervoor nog steeds kwetsbaar is. We raden aan om te updaten naar versie 2.16.0.
Waarnemen van misbruik
We zijn inmiddels een week onderweg, de meeste Log4j installaties zijn inmiddels geïdentificeerd en voorzien van een patch of workaround. Maar was u op tijd?
Eerder gaven we al de tip om logbestanden van Java gebaseerde en gerelateerde applicaties veilig te stellen voor een eventueel later onderzoek. Dit om te voorkomen dat de logbestanden na de logretentie periode worden vernietigd.
Onze partner Nextron deelt al sinds het bekend worden van de Log4j kwetsbaarheid methodes om misbruik van systemen waar te nemen op basis van logbestanden. Nextron heeft een specifieke scanner beschikbaar gesteld op Github. Daarnaast is deze detectie kennis opgenomen in de Nextron Thor Lite scanner. Deze scanner vereist een registratie, maar is gratis te gebruiken:
| CVE | Omschrijving | Versie |
|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4j versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
Call to Action
- Stel vast welke applicaties worden gebruikt binnen uw organisatie.
- Neem hier ook client applicaties in mee.
- Ga na welke applicaties kwetsbaar zijn.
- Een overzicht van mogelijk getroffen software- https://github.com/NCSC-NL/log4shell/tree/main/software
- Lokale scan om de kwetsbare Log4j library op het bestandssysteem te vinden – https://github.com/logpresso/CVE-2021-44228-Scanner
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Beperk netwerkverbindingen wanneer een patch of workaround niet beschikbaar zijn.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
- Stel logbestanden van Java gebaseerde en gerelateerde toepassingen veilig voor toekomstig (forensisch) onderzoek. Volledige systeemback-ups zijn een goede methode om alle relevante logbronnen veilig te stellen.
- Een werkende back-up is in het algemeen een goede gewoonte en helemaal in de huidige situatie.
- Voer een scan uit met de Nextron Thor Lite scanner op mogelijk getroffen systemen om eventueel misbruik vast te stellen.
Update 15 december 2021
14:00 | NCSC heeft verschillende overzichten gepubliceerd die in een samenwerking met verschillende cybersecuritybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software:
https://github.com/NCSC-NL/log4shell/tree/main/software - Een overzicht van scripts/applicaties om misbruik van kwetsbare Log4j implementaties op te sporen.
https://github.com/NCSC-NL/log4shell/tree/main/ - Een overzicht van scripts/applicaties om de aanwezigheid van kwetsbare Log4j implementaties te detecteren.
https://github.com/NCSC-NL/log4shell/tree/main/scanning
Release 2.16.0
In de update van gisteren schreven we over een nieuwe patch voor log4j. Deze patch schakelt JNDI standaard uit en verwijdert de “message lookups” functionaliteit. We raden aan om te updaten naar versie 2.16.0, omdat er een nieuwe kwetsbaarheid is geïdentificeerd in versie 2.15.0. Deze kwetsbaarheid is geregistreerd onder CVE-2021-45046 en kan alleen worden misbruikt wanneer een niet standaard configuratie wordt gebruikt.
De eerdere workaround met betrekking tot het zetten van de optie log4j2.noFormatMsgLookup op true, werkt niet voor kwetsbaarheid CVE-2021-45046.
Kwetsbaarheid CVE-2021-45046 heeft een CVSS-score van 3,7 en leidt alleen tot een mogelijke denial of service (DOS)-aanval. De CVSS-schaal loopt van 0 tot 10.
Log4j versie 1
Log4j versie 1 is sinds 2015 end of support, maar wordt nog steeds veel gebruikt. Versie 1 biedt standaard geen JNDI lookup mechanisme en is daarom niet kwetsbaar voor Log4Shell (CVE-2021-44228). Versie 1 kan echter wel worden misbruikt middels CVE-2021-4104, wanneer de optie JMSAppender is ingeschakeld, wat niet standaard is. Bovendien wordt de aanvalsvector verminderd omdat deze afhankelijk is van schrijfrechten, wat geen standaardconfiguratie is.
Kwetsbaarheid CVE-2021-4104 is vergelijkbaar met CVE-2021-44228 en heeft een CVSS-score van 6,6. De kwetsbaarheid geeft een aanvaller de mogelijkheid om op afstand code uit te voeren. De CVSS-schaal loopt van 0 tot 10.
| CVE | Omschrijving | Versie |
|---|---|---|
| CVE-2021-44228 | De initiële JNDI injectie en RCE kwetsbaarheid. | Log4j versie 2 <= 2.14.1 |
| CVE-2021-4104 | Vergelijkbaar met kwetsbaarheid CVE-2021-44228, maar dan met betrekking tot Log4j versie 1. Deze versie is alleen kwetsbaar wanneer JMSAppender is ingeschakeld. | Log4j versie 1 |
| CVE-2021-45046 | Een aanvullende kwetsbaarheid op CVE-2021-44228. | Log4j versie 2 <= 2.15.0 |
Call to Action
- Stel vast welke applicaties worden gebruikt binnen uw organisatie.
- Neem hier ook client applicaties in mee.
- Ga na welke applicaties kwetsbaar zijn.
- Een overzicht van mogelijk getroffen software- https://github.com/NCSC-NL/log4shell/tree/main/software
- Lokale scan om de kwetsbare Log4j library op het bestandssysteem te vinden – https://github.com/logpresso/CVE-2021-44228-Scanner
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Beperk netwerkverbindingen wanneer een patch of workaround niet beschikbaar zijn.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
- Overweeg om logbestanden met betrekking tot Java gebaseerde toepassingen te bewaren voor toekomstig forensisch onderzoek. Volledige systeemback-ups zijn een goede methode om alle relevante logbronnen veilig te stellen.
- Een werkende back-up is in het algemeen een goede gewoonte en helemaal in de huidige situatie.
Update 14 december 2021
14:00 | NCSC heeft verschillende overzichten gepubliceerd, die in een samenwerking met verschillende securitybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software:
https://github.com/NCSC-NL/log4shell/tree/main/software - Een overzicht van scripts/applicaties om misbruik van kwetsbare Log4j implementaties op te sporen.
https://github.com/NCSC-NL/log4shell/tree/main/ - Een overzicht van scripts/applicaties om de aanwezigheid van kwetsbare Log4j implementaties te detecteren.
https://github.com/NCSC-NL/log4shell/tree/main/scanning
Release 2.16.0
Op 13 december heeft de Apache Foundation een nieuwe patch uitgebracht voor de Log4j library, waarbij JNDI standaard is uitgeschakeld en de ondersteuning voor message lookups volledig is verwijderd.
- https://logging.apache.org/log4j/2.x/changes-report.html#a2.16.0
- https://issues.apache.org/jira/browse/LOG4J2-3221
Omgevingsvariabelen
Aanvallers gebruiken Log4Shell om omgevingsvariabelen te stelen, zoals Cloud inloggegevens of API-sleutels, zoals AWS_SECRET_ACCESS_KEY, waardoor een aanvaller dezelfde toegang tot de AWS-omgeving krijgt. Deze manier van het stelen van gegevens wordt uitgevoerd door de omgevingsvariabelen op te nemen als onderdeel van de FQDN tijdens de lookup.
Uitbuiting van clients
Momenteel ligt de belangrijkste focus op het voorkomen en detecteren van uitbuiting van servers. Echter, zijn clients met de Log4j library ook kwetsbaar en kunnen worden misbruikt wanneer deze verbinding maken met een kwaadaardige of geïnfecteerde server.
Over het algemeen zijn er twee methoden om de kwetsbaarheid te detecteren. De eerste methode is middels het gebruik van een scanner op afstand tegen de IP-interface van een systeem, bijvoorbeeld een webrequest naar een op Java gebaseerde webserver. De tweede methode is met behulp van een lokale scan op het bestandssysteem, om te zoeken naar de kwetsbare library. Over het algemeen geeft de tweede methode de meest betrouwbare resultaten en wordt daarom aanbevolen.
Een lokale scanner met de naam log4j-scan kan worden gebruikt om te scannen naar de kwetsbaarheid CVE-2021-44228. Deze tool scant het lokale bestandssysteem op de aanwezigheid van org/apache/logging/log4j/core/lookup/JndiLookup.class en toont alle bestanden die kwetsbaar zijn voor Log4Shell.
Wanneer Log4J bijgewerkt is tot de laatste versie, controleer dan of dit door u gebeurd is. Aanvallers updaten systemen nadat ze succesvol zijn gehackt. Dit wordt gedaan om te voorkomen dat andere kwaadwillende entiteiten toegang krijgen.
Back-ups en bewijs verzamelen
Met de kans op succesvolle uitbuiting van de Log4Shell kwetsbaarheid, is het sterk aan te raden om alle log bestanden met betrekking tot het systeem en de Java-toepassingen te bewaren voor een eventueel toekomstig forensisch onderzoek. Volledige systeemback-ups zijn een goede methode om alle relevante logbronnen veilig te stellen en te bewaren.
Een goed back-up beleid en een werkende back-up is in het algemeen een goede gewoonte en helemaal in de huidige situatie.
Het combineren van kwetsbaarheden
Om als aanvaller het gewenste einddoel te bereiken, is het gebruikelijk om meerdere bestaande kwetsbaarheden van verschillende applicaties en leveranciers aan elkaar te koppelen. Log4Shell is geen uitzondering en aanvallers zijn momenteel bezig deze kwetsbaarheid in combinatie met andere recente kwetsbaarheden te misbruiken.
Call to Action
- Stel vast welke applicaties worden gebruikt binnen uw organisatie.
- Ga na welke applicaties kwetsbaar zijn.
- Een overzicht van mogelijk getroffen software- https://github.com/NCSC-NL/log4shell/tree/main/software
- Lokale scan om de kwetsbare Log4j library op het bestandssysteem te vinden – https://github.com/logpresso/CVE-2021-44228-Scanner
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Beperk netwerkverbindingen indien nodig.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
- Overweeg om logbestanden met betrekking tot Java gebaseerde toepassingen te bewaren voor toekomstig forensisch onderzoek. Volledige systeemback-ups zijn een goede methode om alle relevante logbronnen veilig te stellen en te bewaren.
- Een werkende back-up is in het algemeen een goede gewoonte en helemaal in de huidige situatie.
Update 13 december 2021
09:00 | Onderstaande afbeelding geeft visueel de potentiële aanvalsmethode rondom de Log4j kwetsbaarheid weer én hoe u deze kunt afwenden.
Bron: GovCert.ch
NCSC heeft verschillende overzichten gepubliceerd, die in een samenwerking met verschillende securitybedrijven continue wordt bijgewerkt:
- Een overzicht van mogelijk geraakte software: https://github.com/NCSC-NL/log4shell/tree/main/software
- Een overzicht van scripts/applicaties en adviezen om de aanwezigheid of misbruik van kwetsbare Log4J implementaties te detecteren: https://github.com/NCSC-NL/log4shell/tree/main/
Verklaring Tesorion producten
De Apache Log4j kwetsbaarheid heeft geen impact op Tesorion appliances. Voor specifieke producten en diensten verwijzen wij naar de verklaring. Alle diensten die gebruik maakten van Log4j, zijn tijdig door Tesorion geïdentificeerd. We hebben passende maatregelen getroffen waardoor er geen sprake is van een dreiging.
Invoervelden
In onze update van zondag 12-12-2021 spraken we over uitbuiting van de kwetsbaarheid middels het gebruik van invoervelden. Dit is correct, maar niet volledig. Iedere vorm van informatie input kan door een aanvaller worden misbruikt. Denk hierbij bijvoorbeeld ook aan een user-agent string of URL-parameters die worden verzonden naar een webapplicatie.
Call to Action
Ons advies blijft om de onderstaande stappen te doorlopen.
- Stel vast welke applicaties worden gebruikt binnen uw organisatie. Focus hierbij initieel op applicaties die direct vanaf het internet te benaderen zijn, zonder tussenkomst van een SSL VPN verbinding.
- Ga na welke applicaties kwetsbaar zijn.
- Er zijn verschillende scan/check scripts beschikbaar die kunnen helpen bij het identificeren van kwetsbare applicaties. Het overzicht van NCSC biedt hier mogelijk een goed begin – https://github.com/NCSC-NL/log4shell/tree/main/
- Mijd online scan websites, omdat hiermee mogelijk informatie kan worden gelekt richting kwaadaardige partijen.
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Een veel geadviseerde workaround is het starten van de server met de directive ‘log4j2.formatMsgNoLookups’ met de waarde ‘True’. Dit kan worden bereikt door de tekst “‐formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de applicatie wordt gestart.
- Voor kritieke applicaties, zorg dat de server die de applicatie host, geen verbindingen kan opzetten naar het internet. Doorgaans zijn deze verbindingen niet nodig voor de werking van de applicatie. Dit voorkomt dat de aanvaller de benodigde aanvullende kwaadaardige code kan downloaden.
- Indien de impact het toelaat, overweeg om kritische systemen uit te schakelen of in zijn geheel onbereikbaar te maken vanaf het internet.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
- Er zijn inmiddels ook regels beschikbaar om logfiles te analyseren op sporen van misbruik. Zie hiervoor ook het overzicht van NCSC – https://github.com/NCSC-NL/log4shell/tree/main/
Update 12 december 2021
16:00 | De Apache Log4j heeft enorme impact. De kwetsbaarheid heeft inmiddels de naam “Log4Shell” gekregen. De risico classificatie, ook wel bekend als de CVSS-score, is ongewijzigd: 10. Dit is de hoogste mogelijke classificatie binnen de schaal.
De uitdaging zit in het feit dat Java is als suiker, het zit overal in. Java in combinatie met Log4J wordt veel gebruikt als basis of als bouwsteen. Veel verschillende applicaties van verschillende vendoren zijn hierdoor mogelijk kwetsbaar.
Apache Log4J betreft een Java library en biedt een log framework voor toepassingen gebaseerd op Java. Zowel Java als de Log4J library worden veel gebruikt in softwaretoepassingen en -services over de hele wereld. Door de kwetsbaarheid kunnen cybercriminelen controle krijgen over het systeem dat de Java gebaseerde applicaties host. In vaktermen wordt dit een “Unauthenticated Remote Code Execution” genoemd.
Uitbuiting van de kwetsbaarheid is relatief eenvoudig. De kwetsbaarheid kan worden getriggerd, wanneer een applicatie de inhoud van een invoerveld wegschrijft in een logevent met behulp van de Log4J library. Bijvoorbeeld een login scherm van een applicatie, waarbij de username wordt weggeschreven als logevent bij een foutieve login poging. Daarmee is het invoerveld username bruikbaar voor een aanvaller. Dit is niet beperkt tot het invoerveld username zoals genoemd in het voorbeeld, maar alle invoervelden in een applicatie.
Een cybercrimineel kan deze kwetsbaarheid alleen misbruiken wanneer deze toegang heeft tot de applicatie. Applicaties direct ontsloten op het internet lopen hierdoor een groot risico.
Momenteel wordt er door zowel cybersecurity bedrijven als cybercriminelen actief gescand op het internet naar kwetsbare systemen. Hierbij hebben sommige cybercriminelen voor specifieke applicaties reeds uitgevonden hoe de kwetsbaarheid kan worden uitgebuit. Dit is echter per applicatie anders. Van grootschalige uitbuiting van de kwetsbaarheid in specifieke applicaties is (nog) geen sprake. De verwachting is dat dit komende dagen wel toe kan nemen.
Call to Action
- Stel vast welke applicaties worden gebruikt binnen uw organisatie. Focus hierbij initieel op applicaties die direct vanaf het internet te benaderen zijn, zonder tussenkomst van een SSL VPN verbinding.
- Ga na welke applicaties kwetsbaar zijn.
- Er zijn verschillende scan/check scripts beschikbaar die kunnen helpen bij het identificeren van kwetsbare applicaties.
- Installeer een patch of pas een workaround toe wanneer deze beschikbaar zijn.
- Een veel geadviseerde workaround is het starten van de server met de directive ‘log4j2.formatMsgNoLookups’ met de waarde ‘True’. Dit kan worden bereikt door de tekst “‐formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de applicatie wordt gestart.
- Voor kritieke applicaties, zorg dat de server die de applicatie host, geen verbindingen kan opzetten naar het internet. Doorgaans zijn deze verbindingen niet nodig voor de werking van de applicatie. Dit voorkomt dat de aanvaller de benodigde aanvullende kwaadaardige code kan downloaden.
- Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratie wijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen.
Log4j Attack Surface
Update 10 december 2021
14:00 | Sinds 9 december 2021 worden er verschillende Proof-of-Concept exploits voor Apache Log4j utility gedeeld. Log4j is ontwikkeld door Apache Foundation en wordt veel gebruikt in apps en clouddiensten. Aanvallers scannen momenteel actief het internet om kwetsbare systemen te identificeren. De kwetsbaarheid geregistreerd als CVE-2021-44228 geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren.
Apache Foundation heeft drie dagen geleden een nieuwe update uitgebracht, die waarschijnlijk deze kwetsbaarheid heeft gedicht. Echter, hebben beveiligingsonderzoekers al een manier gevonden om deze update te omzeilen. Een nieuwe versie is vandaag gepubliceerd log4-2.15.0-rc2.
Wij adviseren om na te gaan of uw product kwetsbaar is en de beschikbare software updates zo snel mogelijk te installeren.
Achtergrond
Een kwetsbaarheid die van invloed is op Apache Log4j-versies 2.0 tot en met 2.14.1, werd op 9 december 2021 bekendgemaakt op de GitHub van het project. De fout is “Log4Shell” genoemd en heeft de hoogste risicoclassificatie van 10. Apache is alomtegenwoordig en omvat bijna een derde van alle webservers ter wereld, waardoor dit een potentieel catastrofale fout is.Log4j is een open source Java-logboekbibliotheek die veel wordt gebruikt in een reeks softwaretoepassingen en -services over de hele wereld. Door de kwetsbaarheid kunnen cybercriminelen controle krijgen over elke op Java gebaseerde, op internet gerichte server en zich bezighouden met Remote Code Execution (RCE)-aanvallen.De meeste inlogschermen ter wereld controleren doorgaans mislukte inlogpogingen, wat betekent dat vrijwel elke geverifieerde pagina die Log4j gebruikt kwetsbaar is. Browser-zoekbalken worden ook vaak geregistreerd en stellen systemen bloot aan deze fout.Het misbruiken van de fout is vrij triviaal. Een aanvaller kan misbruik maken van het beveiligingslek door simpelweg een kwaadaardige codereeks te verzenden die wordt geregistreerd door Log4j. Op dat moment stelt de exploit de aanvaller in staat willekeurige Java-code te laden en de controle over de server over te nemen.
Risico
Aanvallers scannen momenteel actief het internet om kwetsbare systemen te identificeren. De kwetsbaarheid geregistreerd als CVE-2021-44228 heeft een CVSS-score van 10. De CVSS schaal loopt van 0 t/m 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren.
Door de kwetsbaarheid kan een aanvaller ongeautoriseerd op afstand rechtstreeks kwaadaardige verzoeken versturen om zo code uit te voeren. Succesvol misbruik van deze kwetsbaarheid kan er voor zorgen dat de aanvaller het systeem volledig kan overnemen. De Apache Foundation Security Advisory geeft aan dat alle versies van 2.0-beta9 tot 2.14.1 kwetsbaar zijn. Apache Foundation heeft op 9 december een update uitgebracht, het is raadzaam de update zo snel mogelijk te installeren. Wanneer het toepassen van de update niet mogelijk is, dan wordt als mitigerende maatregel geadviseerd: de server kan opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data. Als alternatief voor bovenstaande mitigerende maatregel is het ook een optie om uitgaande sessies zoveel mogelijk te blokkeren om zo te voorkomen dat een aanvaller z’n payload vanaf een externe server kan downloaden.
Advies
Door de kwetsbaarheid kan een aanvaller ongeautoriseerd op afstand rechtstreeks kwaadaardige verzoeken versturen om zo code uit te voeren. Succesvol misbruik van deze kwetsbaarheid kan er voor zorgen dat de aanvaller het systeem volledig kan overnemen.
De Apache Foundation Security Advisory geeft aan dat alle versies van 2.0-beta9 tot 2.14.1 kwetsbaar zijn. Apache Foundation heeft op 9 december een update uitgebracht, het is raadzaam de update zo snel mogelijk te installeren.
Wanneer het toepassen van de update niet mogelijk is, dan wordt als mitigerende maatregel geadviseerd:
de server kan opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data.
Als alternatief voor bovenstaande mitigerende maatregel is het ook een optie om uitgaande sessies zoveel mogelijk te blokkeren om zo te voorkomen dat een aanvaller z’n payload vanaf een externe server kan downloaden.
Bronnen
Meer informatie:
- NCSC beveiligingsadvies
- CVE informatie
- Qualys: CVE-2021-44228: Apache Log4j2 Zero-Day Exploited in the Wild (Log4Shell)
- Cybereason: Releases Vaccine to Prevent Exploitation of Apache Log4Shell Vulnerability (CVE-2021-44228)
- Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228)
- Status andere bekende fabrikanten
- Statements fabrikanten
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
