Actief misbruik van kwetsbaarheid in Apache Log4j 2

UPDATE 29-12-2021

Nieuw beveiligingslek leidt tot beveiligingsupdate Log4j 2.17.1

Op 28 december werd bekend gemaakt dat er opnieuw een kwetsbaarheid (CVE-2021-44832) ontdekt is binnen Log4j.Om de kwetsbaarheid te misbruiken moet een aanvaller eerst de mogelijkheid hebben om een aanpassing te doen aan het configuratiebestand. Deze nieuwe kwetsbaarheid is mede daarom minder ernstig ingeschaald.

Het advies blijft om beschikbare beveiligingsupdates te (laten) installeren:

  • Java 6: update naar versie 2.3.2
  • Java 7: update naar versie 2.12.4
  • Java 8: update naar versie 2.17.1

 

UPDATE 24-12-2021

Wees tijdens de feestdagen alert op Log4j-aanvallen

Met de kerstdagen voor de deur vragen wij opnieuw aandacht voor de ernstige kwetsbaarheid van Apache Log4j-software, ook wel bekend als Log4Shell. Zoals bekend is Log4j is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. De lijst met bedrijfsapplicaties waar Log4j-software aan gelinkt wordt, is inmiddels aanzienlijk. De kans is heel groot dat je binnen je bedrijf applicaties gebruikt met Log4j als bouwblok. Dit maakt je bedrijf kwetsbaar voor cyberaanvallen.

Verklein de kans op Log4j-misbruik

  • Installeer de meest recente beveiligingsupdate voor je applicatie. De GitHub lijst die NCSC bijhoudt geeft informatie over nieuw uitgebrachte beveiligingsupdates, maar we raden aan om ook zelf de pagina's van softwareleveranciers te raadplegen. 
  • Heb je je IT uitbesteed? Raadpleeg voor het installeren van de urgente beveiligingsupdates je IT-dienstverlener of softwareleverancier.
  • Bereid je voor op eventueel misbruik. Er is een kans dat in de afgelopen dagen een 'achterdeur' is gecreëerd waarmee kwaadwillenden dieper in je bedrijfsnetwerk kunnen komen. Houd daarom de komende dagen en weken je systemen goed in de gaten. Lees ook dit overzicht van maatregelen tegen Log4j-incidenten.

Wees alert en voorbereid op misbruik

We kunnen niet genoeg benadrukken dat ook Nederlandse ondernemingen aantrekkelijk zijn voor hackers. Daarom willen wij, ook al heb je alle geadviseerde stappen genomen, oproepen om alert te blijven en door te gaan met aanvullend onderzoek.

Het NCSC heeft een GitHub-pagina met technische informatie beschikbaar gesteld. Hier vind je diverse opties voor de detectie van misbruik, monitoring van netwerk en systemen, indicatoren van compromitatie en scanmogelijkheden. Twijfel je of je dit zelf kan? Neem dan contact op met je IT-leverancier of cybersecurityspecialist.

Meer informatie over de Log4j-kwetsbaarheid

Op de volgende webpagina's vind je meer informatie over de kwetsbaarheid van Log4j:


 

UPDATE 21-12-2021

Op woensdag 15 december hebben DTC, het NCSC en CSIRT-DSP een informatiesessie georganiseerd omtrent de Log4j-kwetsbaarheid. Er zijn veel vragen binnengekomen tijdens het webinar. De tijd liet het niet toe om alle vragen tijdens de livestream te beantwoorden. Daarom is er een overzicht gemaakt van de vragen en antwoorden omtrent Log4j:

Bekijk de Vragen en antwoorden

Let op: de kennis over de Log4j-kwetsbaarheid ontwikkelt zich snel. We benadrukken daarom dat dit antwoorden zijn met de Log4j-inzichten tot 20 december.

Wil je het webinar terugkijken of doorsturen? Dat kan via: Webinar Log4j 15 december 2021 - YouTube


 

UPDATE 18-12-2021

Nieuwe Log4j-patch beschikbaar: 2.17.0

Apache heeft bekend gemaakt dat er een Denial-of-Service-kwetsbaarheid zit in de gisteren uitgebrachte versie 2.16.0 van Log4j. Voor deze nieuwe kwetsbaarheid (CVE-2021-45105) heeft het Nationaal Cyber Security Centrum (NCSC0 vandaag een update uitgebracht van het eerdere beveiligingsadvies.

De ernst van deze kwetsbaarheid is ingeschaald met een CVSS score van 7.5 en zou in een normale situatie niet op HIGH/HIGH worden ingeschaald. De kwetsbaarheid moet dan ook worden gezien als minder ernstig dan de willekeurige code kwetsbaarheden in eerdere versies van Log4j 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0. Deze worden nog steeds door versie 2.12.2 en 2.16.0 verholpen.

Het NCSC raadt aan door te gaan met patchen en hierbij gebruik te maken van de laatste versies die beschikbaar zijn gesteld door Apache. Mocht je naar aanleiding van berichtgeving gisteren al overgeschakeld zijn naar versie 2.16.0, dan raden wij aan eerst de versies te updaten die nog open staan voor willekeurige code (versies 2.0-beta9 t/m 2.12.1 en 2.13.0 t/m 2.15.0).

En pas als je dit hebt afgerond, raden we aan om applicaties die gebruik maken van versie 2.16.0 te updaten naar versie 2.17.0. Voor een overzicht van overige maatregelen die je kunt nemen, verwijzen wij graag naar het meest actuele handelingsperspectief op de NCSC website.

Het ligt in de lijn der verwachting dat er nog meer kwetsbaarheden in (nieuwe) Log4j-versies gevonden zullen worden. Er is een ongekende aandacht voor de Log4j ontwikkelingen wereldwijd vanwege de ernst van de eerder genoemde kwetsbaarheden en het feit dat Log4j in een zeer grote hoeveelheid applicaties is verwerkt. We houden de nieuwe ontwikkelingen nauwgezet bij en blijven hierover informeren.

 


 

UPDATE 17-12-2021

De kwetsbaarheid (CVE-2021-45046) waar wij op 15 december over berichten blijkt ernstiger te zijn dan eerder werd gedacht. Vandaag is bekend geworden dat ook Log4j patch versie 2.15 een (remote) code execution kwetsbaarheid bevat. Maak je gebruik van Log4j versie 2.15 of ouder? Dan is het advies om deze zo spoedig mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 2.16.

 


 

UPDATE 15-12-2021

Het NCSC adviseert organisaties dringend te updaten naar een recente versie van Log4j. Bekijk deze update onder de onderstaande algemene informatie over de Log4j kwetsbaarheid.

Wat betekent de kwetsbaarheid Apache Log4j voor je bedrijf?

Sinds afgelopen vrijdag is er door het DTC en vele andere partijen gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j. Apache Log4j is een softwareproduct dat wordt gebruikt voor het vastleggen van meldingen in software. Het wordt onder andere gebruikt voor het vastleggen van inlogpogingen maar de software zit daarnaast in vele honderden, zo niet duizenden softwareproducten en applicaties. De kans dat jij als ondernemer dus geraakt wordt of bent door deze kwetsbaarheid is zeer waarschijnlijk.

Wat kun je doen?

In onze eerdere updates hebben we een link opgenomen naar een informatiepagina van het NCSC met een overzicht van de producten die mogelijk geraakt zijn. Weet jij exact wat jij als ondernemer in huis hebt, dan kun je daar zien of je gebruik maakt van een product wat aan Log4j gelinkt is. Let op: deze lijst is niet volledig. Er worden nog steeds producten gevonden waar Log4j een onderdeel van is. Daarnaast hebben nog niet alle softwareleveranciers vastgesteld of ze geraakt worden en/of er gevolgen zijn voor hun product.

Wat kun je nog meer doen?

Er wordt wereldwijd gescand naar kwetsbare systemen. Ook is vastgesteld dat er inmiddels massaal misbruik wordt gemaakt van deze kwetsbaarheid. Daarom is het verstandig om op korte termijn contact op te nemen met je softwareleverancier(s) of IT-dienstverlener.
De volgende vragen kun je hen stellen:

  • Ben ik kwetsbaar voor de kritieke kwetsbaarheid Apache Log4j?
  • Welke stappen moet ik ondernemen om hier geen last van te krijgen?
  • Welke acties worden door jullie ondernomen om mijn omgeving veilig te houden?
  • Wat kan ik doen/wat doen jullie om te controleren of ik al geraakt ben?

Waar vind je meer informatie?

Op de volgende plekken vind je meer informatie over de kwetsbaarheid van Apache Log4j:

Andere nieuwsbronnen over Apache Log4j

  • Duitsland geeft code rood af wegens Log4j-lek, VS komt met patch-deadline (security.nl)
  • Cisco: Log4j-kwetsbaarheid mogelijk vanaf 2 december gebruikt bij aanvallen (security.nl)
  • New zero-day exploit for Log4j Java library is an enterprise nightmare (bleepingcomputer.com)
     

 

UPDATE 15-12-2021
Bron: NCSC

Vandaag is een Denial-of-Service (DoS) kwetsbaarheid (CVE-2021-45046) gevonden in de Log4j patch versie 2.15. De (remote) code execution kwetsbaarheid, waarover het NCSC in beveiligingsadvies NCSC-2021-1052 heeft geadviseerd, is volgens Apache inmiddels in zowel versie 2.15 als versie 2.16 van Log4j verholpen. Het NCSC beschikt nu niet over informatie die de berichtgeving van Apache hierover in twijfel trekt.

Het NCSC adviseert organisaties dringend te updaten naar een recente versie van Log4j.

  • Heb je versie 2.14 of ouder? Update dan zo snel mogelijk naar versie 2.16.
  • Heb je versie 2.15 al? Dan adviseert het NCSC om, indien mogelijk, te updaten naar versie 2.16.

Het beveiligingsadvies (NCSC-2021-1052) is bijgewerkt met de meest recente informatie en adviezen.

NCSC ontvangt nog altijd berichten van beperkt actief misbruik. Het NCSC raadt aan regelmatig het meest actuele handelingsperspectief te bekijken.

 


 

UPDATE 12-12-2021
Bron: NCSC

Kwetsbare Log4j applicaties en te nemen stappen

Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Het NCSC heeft partners, organisaties en bedrijven dringend gevraagd om aanvullende informatie te delen op Github. Dit is een makkelijke manier om dit soort informatie te ontsluiten. Deze pagina gaat ook gebruikt worden om scan- en detectiemogelijkheden en Indicators of Compromise bekend te maken.

Het is voor het NCSC niet mogelijk om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten. Een vermelding van een applicatie op deze lijst mag je daarom zien als een update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).

Het is goed mogelijk dat het voor bedrijven en organisaties onduidelijk is hoe te handelen in deze situatie. Daarom hebben wij onderstaand stappenplan opgesteld:

  1. Inventariseer of Log4j v2 in je netwerk wordt gebruikt.
    Hier zijn verschillende scripts beschikbaar, voor Linux en Windows: Northwave Security, Powershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn.
    Let wel: deze scans bieden geen 100% garantie dat je geen kwetsbare systemen hebt.

  2. Controleer of je softwareleverancier al een patch beschikbaar heeft gesteld voor de kwetsbare systemen en voer deze zo snel mogelijk uit.

    • Als het systeem informatie verwerkt die afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.

    • Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:

      • Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true

      • Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie

      • Alle versies: verwijder de JdniLookup en JdniManager classes uit log4j-core.jar

    • Waar dit niet mogelijk is, adviseren wij het systeem uit te schakelen totdat een patch beschikbaar is.

    • Raadpleeg de NCSC Github lijst voor informatie over nieuw uitgebrachte patches, maar monitor zelf ook de pagina's van je softwareleverancier(s).

  3. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik.
    Wij adviseren te kijken naar misbruik in het laatste jaar.

  4. Ook adviseren we om detectiemaatregelen in te schakelen.
    Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

--> Naar de NCSC GitHub pagina

--> Naar de NCSC update van 12 december 19:50 uur


 

UPDATE 11 dec 2021

Inmiddels wordt actief misbruik op significante schaal waargenomen.

Houdt berichtgeving van softwareleveranciers in de gaten waarvan software in de eigen infrastructuur draait. Zie het beveiligingsadvies van het NCSC.
 


 

10 dec 2021

 

Er is een kritieke kwetsbaarheid aangetroffen in Apache Log4j 2, een Java logging library. De kwetsbaarheid is bekend als CVE-2021-44228, Log4Shell en LogJam en wordt in het beveiligingsadvies van het NCSC-2021-1052 als ‘High/High’ ingeschaald.

Er wordt op dit moment waargenomen dat er actief wordt gezocht naar kwetsbare systemen.

 

Wat is Apache Log4j 2?

Log4j is een veel gebruikte open source bibliotheek die vooral door IT-ontwikkelaars wordt gebruikt om vast te leggen of er problemen in een applicatie voorkomen. Uit diverse bronnen blijkt dat veel organisaties gebruik maken van deze open source bibliotheek. Bekijk dit - niet uitputtende - overzicht van producten waar Log4Shell aan gelinkt is.

Wat is het risico?

Door het misbruiken van de kwetsbaarheid is het voor aanvallers mogelijk om door middel van het uitvoeren van code controle te krijgen over de server waarop Log4j draait. Bronnen melden dat grote diensten zoals Steam, Apple iCloud worden geraakt. Inmiddels wordt er door diverse bronnen gemeld dat aanvallers scannen naar kwetsbare servers.

Wat kun je doen?

  1. Dringend advies aan beheerders is om te updaten naar Apache Log4j 2 versie 2.15.0.
  2. Om eventueel misbruik te detecteren, kan in de logging gezocht worden naar strings vanuit gebruikers zoals "Jndi:ldap". Doorzoek hiervoor de logging van alle applicaties die gebruik maken van de kwetsbare Apache Log4j 2.
  3. Cybersecurity-bedrijf NorthWave heeft een tool beschikbaar gesteld waarmee organisaties kunnen controleren of ze kwetsbaar zijn. Hoe het script werkt en wat de beperkingen zijn, is beschreven op de downloadpagina van het script.

Ben je niet zeker of er binnen jouw organisatie gebruik wordt gemaakt van Apache Log4j 2, vraag dit dan na bij je systeembeheerder of IT-dienstverlener.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.