In het weekend van 11 en 12 december werd duidelijk dat er een groot aantal applicaties getroffen zijn door een kritische kwetsbaarheid in java log-tool Log4j, aangeduid als CVE-2021-44228. Later zijn daar ook CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832 aan toegevoegd.
- Op 10 december 2021 heeft Apache Log4j 2.15.0 voor Java 8-gebruikers uitgebracht om een kwetsbaarheid voor de uitvoering van externe code (RCE) aan te pakken: CVE-2021-44228.
- Op 13 december 2021 heeft Apache Log4j 2.12.2 voor Java 7-gebruikers en Log4j 2.16.0 voor Java 8-gebruikers uitgebracht om een RCE-kwetsbaarheid aan te pakken: CVE-2021-45046.
- Op 17 december 2021 heeft Apache Log4j 2.17.0 voor Java 8-gebruikers uitgebracht om een denial-of-service (DOS)-kwetsbaarheid aan te pakken: CVE-2021-45105.
- Op 28 december 2021 heeft Apache Log4j 2.17.1 voor Java 8-gebruikers uitgebracht om een RCE-kwetsbaarheid aan te pakken: CVE-2021-44832.
Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met kwetsbare applicaties. Deze lijst wordt regelmatig aangevuld met informatie over applicaties die nog niet op de lijst staan. In dit artikel delen we tips van het NCSC en voorzien we u van de laatste informatie over de statements en instructies van onze vendoren.
Inhoudsopgave
Algemene tips van het NCSC
- Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar: Northwave Security, Powershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
- Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
- Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
– Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk. Bijvoorbeeld met een Web Application Firewall (WAF) om malafide input te detecteren en/of blokkeren.
– Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
– Waar dit niet mogelijk is, adviseert het NVSC om te overwegen om systemen uit te schakelen totdat een patch beschikbaar is.
– De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om zelf ook pagina’s van softwareleveranciers te monitoren. - Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. NCSC adviseert te kijken naar misbruik vanaf tenminste 1 december.
- NCSC adviseert u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
Opnieuw een kwetsbaarheid in Log4j aangetroffen
Op 14 december publiceerde de onderzoekers van LunaSec een blogpost waarin zij liever weten dat er opnieuw een kwetsbaarheid is gevonden in de java log-tool Log4j. De onderzoekers laten weten dat er na het updaten van systemen naar versie 2.15.0 gebruikers nog steeds kwetsbaar zijn. Updaten naar 2.16.0 wordt dan ook dringend geadviseerd.
In tests van de onderzoekers van Lunasec, blijkt bovendien dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers adviseren om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.
Voorbereiden op eventueel misbruik door Log4j
- Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft.
- Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
- Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
- Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
- Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
- Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
- Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden? Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
- De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Lees meer hierover in de factsheet Ransomware.
- Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.
Statements & instructies vendoren over Log4j
Alcatel-Lucent Enterprise
In onderstaande tabel kunt u vinden welke producten en/of softwareversies van Alcatel-Lucent Enterprise kwetsbaar zijn en wat de aanbeloven acties zijn.
Product | Versie | Kwetsbaar | Impact | Oplossing |
PALM | Cloud | Nee | NVT | NVT |
Subscription Manager | Cloud | Nee | NVT | NVT |
Agnostic Data Lake | Cloud | Nee | NVT | NVT |
Asset Tracking | Cloud | Ja | Onder beoordeling | Onder beoordeling |
OV Cirrus | 10.1 | Ja | De betrokken service is tot nader order gestopt met werken | Onder beoordeling |
OV Cirrus | 4.6R1 | Nee | NVT | NVT |
OV 2500 | 4.6R1 of eerder | Nee | NVT | NVT |
Ucopia | Alle | Nee | NVT | NVT |
Clearpass | Alle | Nee | NVT | NVT |
OV 3600 | Alle | Nee | NVT | NVT |
LBS | Cloud | Onder beoordeling | Onder beoordeling | Onder beoordeling |
RAP Appliance | Alle | Nee | NVT | NVT |
NaaS | Cloud | Onder beoordeling | Onder beoordeling | Onder beoordeling |
Titian SD-WAN | Cloud | Onder beoordeling | Onder beoordeling | Onder beoordeling |
OmniSwitch | Alle modellen, behalve OS2220 | Nee | NVT | NVT |
OmniSwitch | OS2020 | Onder beoordeling | Onder beoordeling | Onder beoordeling |
OmniAccess Stellar Access Points | Alle | Nee | NVT | NVT |
OmniAccess WLAN AP’s & Controllers | Alle | Nee | NVT | NVT |
Commscope Ruckus
Commscope Ruckus zal software-updates uitbrengen als oplossing voor deze kwetsbaarheid. Omdat het een kritiek probleem is, worden klanten dringend geadviseerd de fix toe te passen zodra deze beschikbaar is. In onderstaande tabel kunt u vinden welke producten en/of softwareversies kwetsbaar zijn en wat de aanbeloven acties zijn.
Product | Vulnerable Release | Oplossing | Release date |
FlexMaster | 9.13.1 | Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1 Open een case met TAC om mitigatiescript toe te passen Niet kwetsbaar voor CVE-2021-44832 | 29-12-2021 |
Ruckus Analytics | Alle versies. | Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar. Niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832 | 18-12-2021 |
Ruckus Cloud | 21.11 | Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar. CVE-2021-44228 opgelost Niet kwetsbaar voor CVE-2021-45046, CVE-2021-45105 CVE-2021-44832 wordt onderzocht | 20-12-2021 |
SCI | Ja On prem versie 5.3.1, v5.4.2 en v5.5.x | SCI (Cloud): geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar. SCI (standalone/on-prem): zie KBA #10215 voor te nemen stappen.Lost CVE-2021-44228, CVE-2021-45046 en CVE-2021-44832 op SCI niet kwetsbaar voor CVE-2021-45105 | SCI (Cloud): 16-12-2021 SCI (standalone/on-prem): 20-12-2021 |
SmartZone + Virtual SmartZone | 5.0 t/m 6.0 | KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site. KSP lost CVE-2021-44228 en CVE-2021-45046 op SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832 | SZ 6.0: 17-12-2021 ( Let op! In het artikel van Ruckus staat geschreven dat de file geupload kan worden via administration->Diagnostics, maar in SZ 6.0 zit dit op een andere plek. Het makkelijkste is daarom om te zoeken op “diagnostics” in de zoekbalk) SZ 5.2.2: 17-12-2021 SZ 5.1 en 5.0: 17-12-2021 |
SmartZone + Virtual SmartZone FIPs | 5.2.1.3 Overige SZ FIPS Releases | KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site. Installeer de KSP wanneer beschikbaar op de Ruckus Support Site.KSP lost CVE-2021-44228 en CVE-2021-45046 op SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832 | SZ FIPS 5.2.1.3: 17-12-2021 Overige releases zijn nog onder beoordeling |
Unleashed Multi-Site Manager (UMM) | 2.0 t/m 2.6 | Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1 Open een case met TAC om mitigatiescript toe te passenNiet kwetsbaar voor CVE-2021-44832 | 29-12-2021 |
Producten die niet kwetsbaar zijn:
- Alle Access Points (Inclusief de Unleashed AP’s)
- Cloudpath
- ICX Switches
- Mobiele apps: de Ruckus Cloud app is niet kwetsbaar. Swipe, SPoT, Speedflex, Unleashed apps gebruiken android en worden niet beïnvloed.
- Ruckus Network Director (RND, versie 3.0 en eerder)
- SmartZone Dataplane
- SPoT/vSPoT
- Unleashed
- ZoneDirector
De volgende producten worden op dit moment nog beoordeeld Ruckus LTE (inclusief LTE AP’s) en IoT
EnGenius
De experts van EnGenius hebben na zorgvuldig onderzoek laten weten dat hun producten en services niet getroffen zijn door de kwetsbaarheid Log4j.
IgniteNet
Volgens de productmanagers van IgniteNet zijn hun producten en diensten niet getroffen door de Log4J-kwetsbaarheid.
SonicWall
SonicWall heeft haar productlijn onderzocht om te bepalen welke producten door Log4J kunnen worden getroffen. In onderstaande tabel kunt u vinden welke producten kwetsbare versie(s) van Log4j gebruiken en of deze worden beïnvloed.
SonicWall-product (apparaat/Cloud/Virtual/OnPrem) | Toestand | Beschrijving |
E-mail Security- Hosted Email Security (HES)
- On-premise Email Security
| Beïnvloed | Email Security (ES) 10.0.12 en eerdere versies zijn getroffen door Log4j-kwetsbaarheden CVE-2021-44228 (ES 10.0.11 en eerder), CVE-2021-45046 en CVE-2021-45105. SonicWall heeft SonicWall Email Security-firmware 10.0.13 uitgebracht met de bijgewerkte Log4j2 2.17.0, waarmee de bovengenoemde kwetsbaarheden worden verholpen. Hosted Email Security (HES) werd automatisch gepatcht. BELANGRIJK: Alle SonicWall klanten die gebruik maken van Email Security (On-Prem) moeten onmiddellijk inloggen op MySonicWall en upgraden naar Email Security firmware 10.0.13. Ook als ze eerder een upgrade naar 10.0.12 hebben uitgevoerd. |
NSM | Beïnvloed | Uit onderzoek is gebleken dat NSM gebruikmaakt van een kwetsbare Log4j-versie. SonicWall heeft een uitgebreide analyse van NSM uitgevoerd die geen waarneembare aanvalsvectoren voor de Log4j2-suite van kwetsbaarheden opleverde. Om toch het zekere voor het onzekere te nemen, heeft SonicWall eNSM (On-Prem) firmware 2.3.2-R12-H2 gepubliceerd met Log4j 2.17.0, waarmee CVE-2021-45105 en CVE-2021-42550 worden verholpen. Als voorzorgsmaatregel bevat NSM 2.3.2-R12-H2 ook een upgrade naar Logback 1.2.9 om CVE-2021-42550 te verhelpen. NSM (SaaS) is automatisch gepatcht naar de nieuwste firmware. BELANGRIJK: Alle SonicWall-klanten die NSM (On-Prem) apparaten gebruiken, moeten onmiddellijk inloggen op MySonicWall en upgraden naar 2.3.2-R12-H2. Ook als ze eerder een upgrade naar 2.3.2-R12-H1 hebben uitgevoerd. |
WAF | Deels beïnvloed | WAF 3.x gebruikt Log4j, maar alleen wanneer de legacy ‘Cloud Management’-functie is ingeschakeld. SonicWall raadt klanten aan om ‘Cloud Management’ uit te schakelen indien ingeschakeld. Deze wijziging heeft geen invloed op de functionaliteit. Deze functie is standaard uitgeschakeld. WAF 2.x en eerdere versies gebruiken Log4j niet en worden niet beïnvloed. |
Gen5-firewalls (EOS)- TZ100/W
- TZ200/W
- TZ210/W
- NSA 220/W
- NSA 250M/250M-W
- NSA 2400/MX/3500/4500/5500
- NSA E5500/6500/6500/8500/8510
| Niet beïnvloed | Log4j2 wordt niet gebruikt. |
Gen6-firewallsTZ300/W; TZ350/W TZ400/W TZ500/W TZ600 NSA 2600/2650/3600/3650/4600 /4650/5600/5650/6600/6650 SM 9200/9400/9600/9800 NSa 9250/9450/9650 NSSP 12400/12800 NSV 10/25/50/100/200/400/800/1600 (ESX, KVM, HYPER-V, AWS, Azure)
| Niet beïnvloed | Log4j2 wordt niet gebruikt. |
Gen7-firewallsTZ270/W TZ370/W TZ470/W TZ570/W TZ670 NSA 2700/3700/4700/5700/6700 NSSP 10700/11700/13700/15700 NSV 270/470/870 (ESX, KVM, HYPER-V, AWS, Azure)
| Niet beïnvloed | Log4j2 wordt niet gebruikt. |
SonicWall Switch | Niet beïnvloed | Log4j2 wordt niet gebruikt in de SonicWall Switch. |
SMA 100- SMA 200/210/400/410
- SMA 500v (ESX, KVM, Hyper-V, AWS, Azure)
| Niet beïnvloed | Log4j2 wordt niet gebruikt in de SMA100-appliance. |
SMA 1000SMA 6200/7200/6210/7210 SMA 8200v (ESX, KVM, Hyper-V, AWS, Azure) SRA EX 7000
| Niet beïnvloed | Versie 12.1.0 en 12.4.1 gebruiken geen kwetsbare versie. |
MSW | Niet beïnvloed | Mysonicwall-service maakt geen gebruik van Log4j. |
Analyzer | Niet beïnvloed | Analyzer versie 1.x maakt geen gebruik van de kwetsbare Log4j-versie. |
GMS | Niet beïnvloed | GMS versie 9.x en 8.x maken geen gebruik van de kwetsbare Log4j-versie. |
Capture Client & Capture Client Portal | Niet beïnvloed | Log4j2 wordt niet gebruikt in de Capture Client. |
CAS | Niet beïnvloed | Log4j2 wordt niet gebruikt in de CAS. |
WAF | Niet beïnvloed | Log4j2 wordt niet gebruikt in de WAF. |
Access Points | Niet beïnvloed | Log4j2 wordt niet gebruikt in de SonicWall Access Points. |
WNM | Niet beïnvloed | Log4j2 wordt niet gebruikt in de WNM. |
Capture Security Appliance | Niet beïnvloed | Log4j2 wordt niet gebruikt in de Capture Security-appliance. |
WXA | Niet beïnvloed | WXA gebruikt de kwetsbare Log4j-versie niet. |
SonicCore | Niet beïnvloed | Log4j2 wordt niet gebruikt in de SonicCore. |
SonicCoreX | Niet beïnvloed | Log4j2 wordt niet gebruikt in de SonicCoreX. |
CSCMA | Niet beïnvloed | CSCMA gebruikt de kwetsbare Log4j-versie niet. |
EPRS | Niet beïnvloed | EPRS 1.x en 2.x maken geen gebruik van de kwetsbare Log4j-versie. |
Cloud Edge | Niet beïnvloed | Cloud Edge maakt geen gebruik van de kwetsbare Log4j-versie. |
Analytics | Niet beïnvloed | Analytics maakt geen gebruik van de kwetsbare Log4j-versie |
Tot slot willen we u ook nog attenderen op de Support Notice en de Sonic Alert die beschikbaar zijn gesteld. Op de Support Notice vermeld SonicWall ook welke IPS en WAF signatures er gereleased zijn om partners/klanten te beschermen.
Bekijk ook ons recente artikel over kwetsbaarheden in verschillende SonicWall firewalls en adviezen ervoor →
Technicolor
In het verleden heeft Alcadis ook gateways verkocht van het merk Technicolor. Het is alweer een behoorlijke tijd geleden sinds we deze producten hebben verkocht. Toch hebben we ook bij deze vendor even navraag gedaan naar de status omtrent Log4j. De producten die wij destijds hebben verkocht (Telco Legacy, including SpeedTouch en (Cable Modem non-RDK-B) zijn niet getroffen door de kwetsbaarheid Log4j.
TP-Link
TP-Link is op de hoogte van de kwetsbaarheid in Apache Log4j die wordt gebruikt in de Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI-functies die worden gebruikt in de configuratie, logberichten en parameters beschermen niet tegen door een aanvaller bestuurde LDAP en andere JNDI-gerelateerde endpoints).
Producten/services die niet kwetsbaar zijn
- Alle Wi-Fi Routers
- Alle Mesh Wi-Fi (Deco)
- Alle Range Extenders
- Alle Powerline adapters
- Alle Mobile Wi-Fi producten
- Alle SMB Routers, Switches, Omada EAP’s, en Pharos CPE’s
- Alle VIGI products
- Alle apps: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
- Pharos Control
Betrokken Producten/Services
- Omada Cloud Services
- Omada Controller (Windows)
- Omada Controller (Linux)
- OC200
- OC300
Beschikbare oplossingen
Momenteel heeft het TP-Link-team de kwetsbaarheid op de cloudplatforms verholpen. Voor lokale Omada-controllers kunt u de onderstaande bètafirmware (zie test agreement) installeren als noodoplossing.
Omada controller V3.2.14
De officiële firmware release voor Omada Controllers
TP-Link laat verder weten:
- De hierboven geleverde bètafirmware heeft log4j-versie bijgewerkt naar 2.15.0 om de oorspronkelijke kwetsbaarheid te verhelpen (CVE-2021-44228).
- De hierboven geleverde officiële firmware heeft log4j-versie bijgewerkt naar 2.16.0 om de gevolgde kwetsbaarheid te verhelpen (CVE-2021-45046).
- Omada-controllers of -services worden NIET getroffen door de laatste kwetsbaarheid (CVE-2021-45105). Maar TP-Link zal binnenkort nog een nieuwe officiële firmware uitbrengen om de log4j-versie te upgraden naar 2.17.0.
- De officiële firmware voor Omada Controller v3.2.14 zal ook de log4j-versie upgraden naar 2.17.0, die daarna zal worden vrijgegeven.
Tot slot, als u een oudere Omada-controller gebruikt en u zich afvraagt of u de SDN-controller kunt upgraden, kunt u de veelgestelde vragen op de website van TP-Link raadplegen.
Blog NCC Group
NCC Group is een wereldwijde expert op het gebied van cyberbeveiliging. NCC Group helpt bedrijven hun organisatie, merk, gevoelige informatie en reputatie te beschermen in een wereld met steeds meer digitale dreigingen. De experts van NCC Group hebben op basis van hun eigen research een artikel geschreven over de Log4j. Een aanrader voor wie op zoek is naar meer diepgaande informatie.
We houden de statements en instructies van onze vendoren nauwlettend in de gaten. Mocht er iets veranderen, dan vullen we dit artikel weer aan. Laatste update 7-2-2022 om 08.45 uur.