CVE-2021-44228 - Apache Log4j2

Er is een ernstige kwetsbaarheid gevonden in Apache Log4j. Dit is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen.

Het NCSC waarschuwt voor potentieel grote schade en adviseert om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. Er zijn veel bedrijven welke deze software gebruiken, waaronder Apple, Twitter, Steam, Tesla en N-Able. We zien actief scangedrag in Nederland en verwachten op korte termijn misbruik van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen. VTM monitort de situatie nauwgezet.

Apache Log4j achtergrond informatie
Apache Log4j is een op Java gebaseerd hulpprogramma voor logboekregistratie dat oorspronkelijk is geschreven door Ceki Gülcü. Het maakt deel uit van de Apache Logging Services, een project van de Apache Software Foundation. Log4j is een van de vele Java-logging-frameworks.

Aanbevolen acties
Patch (update) relevante software. De aanbevolen actie is om te updaten naar Log4j 2.15.0. Bent u niet zeker of er binnen uw organisatie gebruik wordt gemaakt van Apache Log4j of welke versies dit zijn, vraag dit dan na bij uw softwareleverancier. Houd daarnaast de website van het NCSC & VTM in de gaten voor nadere informatie en updates.

Wat doet VTM?
VTM volgt het advies van het Nationaal Cyber Security Centrum (NCSC) op, om zo snel als mogelijk software-updates door te voeren in applicatie welke gebruik maken van de Java log-tool, die in veel webapplicaties en IT-systemen wordt gebruikt.

  • VTM heeft geen indicatie dat er sprake is geweest van misbruik.
  • VTM monitort zijn netwerken en systemen 24/7 in het Security Operations Centre (SOC) en in de keten voor opvolging door VTM-specialisten.
  • VTM adviseert klanten, waarvan het de servers/applicaties niet in beheer heeft, de aanwijzingen van het NCSC op te volgen (zie hieronder).
  • Het Interne Kwetsbaarheid Scanner platform van VTM scanned actief op Log4j kwetsbaarheden (zie onderstaand meer info). 

CVE Details bronnen

MITRE CVE-2021-44228 detail:
https://www.cve.org/CVERecord?id=CVE-2021-44228

NCSC NCSC-2021-1052 [1.01] advisory:
https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2021%2D1052

Microsoft Security Response Center (MSRC) response:
https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/ 

Update 13-12-2021 08:15
Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. 

Update 15-12-2021 09:30
Er komt steeds meer informatie vanuit fabrikanten beschikbaar en die blijven we actief volgen om steeds weer alles te herevalueren. Alle systemen worden extra goed bewaakt om bekende aanwijzingen op (poging tot) misbruik goed in de gaten te houden en waar nodig actie te ondernemen.

Update 17-12-2021 09:00
De scanners van het VTM Interne kwetsbaarheid scanner platform zijn geüpdatet met geautomatiseerde Log4j scanners. Inmiddels zien wij ook de eerste resultaten in het platform verschijnen.

Hoewel dit goed nieuws is willen wij met klem benadrukken dat het nog niet mogelijk is om alle Log4j issues (geautomatiseerd) te detecteren. Ook is de kans groot dat er nog veel software is, waarvan we nog niet eens weten dat deze kwetsbaarheid erin meegeleverd wordt. In de komende dagen en weken blijven we onze scanners daarom updaten, de vraag om zelf actief bij software leveranciers navraag te doen naar kwetsbaarheden in door hun geleverde software blijft staan.

Hetzelfde geldt voor de voorgestelde mitigatiemethoden. In de afgelopen week is duidelijk geworden dat sommige mitigaties in een aantal gevallen wel werken en in andere gevallen niet. Het blijft belangrijk hier kritisch op te blijven en samen met de software leverancier goed te testen of een mitigatie de kwetsbaarheid verholpen heeft.

VTM Applicaties

Ten aanzien van applicaties gefaciliteerd en geleverd door VTM kunnen we het volgende melden:

Klant portal van VTM
Alle systemen zijn gecontroleerd. Voor zover nu bekend, zijn onze systemen niet kwetsbaar.

Fortinet producten
Alle door VTM gebruikte Fortinet producten zijn gecontroleerd. Voor zover nu bekend, zijn de door VTM gebruikte systemen niet kwetsbaar. Fabrikant informatie: https://www.fortiguard.com/psirt/FG-IR-21-245?utm_source=blog&utm_campaign=blog 

HPE Aruba producten
Alle door VTM gebruikte Aruba producten zijn gecontroleerd. Voor zover nu bekend, zijn onze systemen niet kwetsbaar. Fabrikant informatie: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-019.txt 

Mikrotik producten
Alle door VTM gebruikte Mikrotik producten zijn gecontroleerd. Voor zover nu bekend, zijn onze systemen niet kwetsbaar. Fabrikant informatie:  https://forum.mikrotik.com/viewtopic.php?t=181257 

IoT Application Portal van VTM
Deze portal maakt geen gebruik van Java code en meer specifiek de Log4j bibliotheek.

Overige systemen
Daarnaast maakt VTM gebruik van applicaties van derden zoals Microsoft, Cisco en KPN. Bij de betreffende partijen is alle aandacht erop gericht kwetsbaarheden te identificeren en worden wanneer nodig maatregelen getroffen om misbruik te voorkomen. VTM heeft geen indicatie of meldingen ontvangen dat er sprake is geweest van misbruik bij partners/leveranciers van VTM.

Terug naar overzicht

icon advies

Deel dit artikel via:

Werken hoe, waar en wanneer je wilt

De Moderne Werkplek biedt de juiste tools om beter samen te werken en zonder barrières te werken waar en wanneer je wilt.

Moderne Werkplek

Volgende

Danny Den Hollander NIST framework
Cybersecurity Framework