Log4j2 is een open source bibliotheek die door IT-ontwikkelaars gebruikt wordt om te loggen of er bepaalde bugs voorkomen in een applicatie. Er zijn veel bedrijven, applicaties en clouddiensten die gebruik maken van deze Java-library. De kwetsbaarheid kwam aan het licht op vrijdag 10 december en heeft de naam Log4Shell of CVE-2021-44228 gekregen. De bijbehorende update om dit te verhelpen is 2.16.

Impact

Maakt u gebruik van software of systemen waarin Log4j2 wordt gebruikt, dan zijn deze mogelijk kwetsbaar voor misbruik bijvoorbeeld in de vorm van een ransomware-aanval. Dit gebeurt meestal niet meteen, maar kan ook over een aantal weken of maanden gebeuren. Op deze pagina van Apache leest u meer informatie en kunt u de fix downloaden: https://logging.apache.org/log4j/2.x/security.html 

Wat doet PQR?

PQR volgt het advies van het Nationaal Cyber Security Centrum (NCSC) op, om zo snel als mogelijk software-updates door te voeren, welke in veel webapplicaties en IT-systemen wordt gebruikt.

  • PQR heeft op het moment van schrijven geen indicatie dat er sprake is geweest van misbruik.
  • Het PQR Security Operations Centre (SOC) monitort 24*7 de systemen van haar aangesloten SOC klanten om misbruik te detecteren van deze kwetsbaarheid.
  • PQR adviseert de klanten waarvan PQR de servers niet in beheer heeft, om de aanwijzingen van het NCSC op te volgen (zie hieronder).

Advies

PQR adviseert een aantal stappen om uw IT-Infrastructuur te beschermen en de Apache log4j (CVE-2021-44228) kwetsbaarheid te mitigeren.

Identificeer

  • Controleer alle (publieke) beschikbare resources die gebruik maken van Apache Log4j2 module. Leg de focus op publieke resources, omdat deze vanaf buitenaf misbruikt kunnen worden.
  • Weet u niet of de bedrijfsapplicaties gebruik maken van de Log4j2-library? Vraag dit dan na bij uw IT-afdeling of softwareleverancier.

Preventie

  • Gebruik beveiligingsproducten zoals FortiGate, Check Point, of andere firewall producten om via Intrustion Prevention System (IPS) de “Apache log4j2 module” aanvallen te blokkeren. https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
  • Als u zelf (bedrijfs-)applicaties of systemen ontwikkelt of beheert die gebruik maken van Apache Log4j2 is het zaak om in elk geval zo snel mogelijk de beschikbare update te installeren en of de workaround toe te passen. Daarmee wordt deze kwetsbaarheid weggenomen.
  • In deze update is de kwetsbaarheid verholpen: log4j-2.16.0-rc1 U kunt deze downloaden via GitHub: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc1 of voor meer informatie gaan naar https://issues.apache.org/jira/browse/LOG4J2-2109.
  • Een tijdelijke oplossing kan zijn om kritieke systemen of data (tijdelijk) af te koppelen van het internet, zodat aanvallers hier niet bij kunnen komen.
  • Zorg voor back-ups van belangrijke bedrijfsdata.
  • Microsoft heeft een uitgebreide handleiding geschreven voor IT-afdelingen die misbruik op hun Microsoft Azure-omgeving willen mitigeren, deze is hier te vinden.

Detectie

PQR adviseert klanten zelf nog grondig onderzoek te doen en om waakzaam te zijn op afwijkingen in systemen en netwerken, hiervoor kan een Security Incident & Event Management (SIEM) tool worden ingezet.

Mitigatie workaround

Bij het gebruik van de Apache Log4j2 Module kan in de configuratie aanpassingen worden toegepast, waardoor deze module niet meer kwetsbaar is. Afhankelijk van het product kunnen er meer aanpassingen noodzakelijk zijn.

In het “log4j2.xml” configuratie bestand kan de volgende regel worden opgenomen. Waar dit configuratie bestand zich bevindt, is productafhankelijk en hiervoor kan het beste de product leverancier documentatie worden geraadpleegd.

# Algemene workaround voorbeeld

log4j2.formatMsgNoLookups

# Java workaround voorbeeld

wrapper.java.additional.27=-Dlog4j2.formatMsgNoLookups=true

Berichten die gebruik maken van “message m%” kunnen op onderstaande manier worden opgelost:
# Message variable voorbeeld

%m{nolookups}

# JNDI lookup.class workaround
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Heeft u vragen of hulp nodig?

Als u vragen naar aanleiding van dit bericht heeft, neem dan contact met ons op.

Geplaatst door

Berry Rijnbeek

Lead consultant security competence team, Security Officer