Kritische kwetsbaarheid Log4j: wat kunt u het beste doen?

In het weekend van 11 en 12 december werd duidelijk dat er een groot aantal applicaties getroffen zijn door een kritische kwetsbaarheid in java log-tool Log4j, aangeduid als CVE-2021-44228. Later zijn daar ook CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832 aan toegevoegd.

• Op 10 december 2021 heeft Apache Log4j 2.15.0 voor Java 8-gebruikers uitgebracht om een ​​kwetsbaarheid voor de uitvoering van externe code (RCE) aan te pakken: CVE-2021-44228.
• Op 13 december 2021 heeft Apache Log4j 2.12.2 voor Java 7-gebruikers en Log4j 2.16.0 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-45046.
• Op 17 december 2021 heeft Apache Log4j 2.17.0 voor Java 8-gebruikers uitgebracht om een ​​denial-of-service (DOS)-kwetsbaarheid aan te pakken: CVE-2021-45105.
• Op 28 december 2021 heeft Apache Log4j 2.17.1 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-44832.

Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met kwetsbare applicaties. Deze lijst wordt regelmatig aangevuld met informatie over applicaties die nog niet op de lijst staan. In dit artikel delen we tips van het NCSC en voorzien we u van de laatste informatie over de statements en instructies van onze vendoren.

Inhoudsopgave

• Algemene tips van het NCSC
• LunaSec treft opnieuw kwetsbaarheid aan in Log4j
• Bereid u voor op misbruik
• Alcatel-Lucent Enterprise
• Commscope Ruckus
• EnGenius
• IgniteNet
• SonicWall
• Technicolor
• TP-Link
• Blog NCC Group

Algemene tips van het NCSC

1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar: Northwave Security, Powershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
   –  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk. Bijvoorbeeld met een Web Application Firewall (WAF) om malafide input te detecteren en/of blokkeren.
   –  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
   –  Waar dit niet mogelijk is, adviseert het NVSC om te overwegen om systemen uit te schakelen totdat een patch beschikbaar is.
   –  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om zelf ook pagina’s van softwareleveranciers te monitoren.
4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. NCSC adviseert te kijken naar misbruik vanaf tenminste 1 december.
5. NCSC adviseert u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Opnieuw een kwetsbaarheid in Log4j aangetroffen

Op 14 december publiceerde de onderzoekers van LunaSec een blogpost waarin zij liever weten dat er opnieuw een kwetsbaarheid is gevonden in de java log-tool Log4j. De onderzoekers laten weten dat er na het updaten van systemen naar versie 2.15.0 gebruikers nog steeds kwetsbaar zijn. Updaten naar 2.16.0 wordt dan ook dringend geadviseerd.

In tests van de onderzoekers van Lunasec, blijkt bovendien dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers adviseren om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.

Voorbereiden op eventueel misbruik door Log4j

1. Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft.
2. Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
3. Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
4. Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
5. Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
6. Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
7. Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden?  Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
8. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Lees meer hierover in de factsheet Ransomware.
9. Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.

Statements & instructies vendoren over Log4j

Alcatel-Lucent Enterprise

In onderstaande tabel kunt u vinden welke producten en/of softwareversies van Alcatel-Lucent Enterprise kwetsbaar zijn en wat de aanbeloven acties zijn. 

Commscope Ruckus

Commscope Ruckus zal software-updates uitbrengen als oplossing voor deze kwetsbaarheid. Omdat het een kritiek probleem is, worden klanten dringend geadviseerd de fix toe te passen zodra deze beschikbaar is. In onderstaande tabel kunt u vinden welke producten en/of softwareversies kwetsbaar zijn en wat de aanbeloven acties zijn. 

Producten die niet kwetsbaar zijn:

• Alle Access Points (Inclusief de Unleashed AP’s)
• Cloudpath
• ICX Switches
• Mobiele apps: de Ruckus Cloud app is niet kwetsbaar. Swipe, SPoT, Speedflex, Unleashed apps gebruiken android en worden niet beïnvloed.
• Ruckus Network Director (RND, versie 3.0 en eerder)
• SmartZone Dataplane
• SPoT/vSPoT
• Unleashed
• ZoneDirector

De volgende producten worden op dit moment nog beoordeeld Ruckus LTE (inclusief LTE AP’s) en IoT

EnGenius

De experts van EnGenius hebben na zorgvuldig onderzoek laten weten dat hun producten en services niet getroffen zijn door de kwetsbaarheid Log4j.

IgniteNet

Volgens de productmanagers van IgniteNet zijn hun producten en diensten niet getroffen door de Log4J-kwetsbaarheid.

SonicWall

SonicWall heeft haar productlijn onderzocht om te bepalen welke producten door Log4J kunnen worden getroffen. In onderstaande tabel kunt u vinden welke producten kwetsbare versie(s) van Log4j gebruiken en of deze worden beïnvloed.

Tot slot willen we u ook nog attenderen op de Support Notice en de Sonic Alert die beschikbaar zijn gesteld. Op de Support Notice vermeld SonicWall ook welke IPS en WAF signatures er gereleased zijn om partners/klanten te beschermen.

Bekijk ook ons recente artikel over kwetsbaarheden in verschillende SonicWall firewalls en adviezen ervoor →

Technicolor

In het verleden heeft Alcadis ook gateways verkocht van het merk Technicolor. Het is alweer een behoorlijke tijd geleden sinds we deze producten hebben verkocht. Toch hebben we ook bij deze vendor even navraag gedaan naar de status omtrent Log4j. De producten die wij destijds hebben verkocht (Telco Legacy, including SpeedTouch en (Cable Modem non-RDK-B) zijn niet getroffen door de kwetsbaarheid Log4j.

TP-Link
TP-Link is op de hoogte van de kwetsbaarheid in Apache Log4j die wordt gebruikt in de Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI-functies die worden gebruikt in de configuratie, logberichten en parameters beschermen niet tegen door een aanvaller bestuurde LDAP en andere JNDI-gerelateerde endpoints).

Producten/services die niet kwetsbaar zijn

• Alle Wi-Fi Routers
• Alle Mesh Wi-Fi (Deco)
• Alle Range Extenders
• Alle Powerline adapters
• Alle Mobile Wi-Fi producten
• Alle SMB Routers, Switches, Omada EAP’s, en Pharos CPE’s
• Alle VIGI products
• Alle apps: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
• Pharos Control

Betrokken Producten/Services

• Omada Cloud Services
• Omada Controller (Windows)
• Omada Controller (Linux)
• OC200
• OC300

Beschikbare oplossingen
Momenteel heeft het TP-Link-team de kwetsbaarheid op de cloudplatforms verholpen. Voor lokale Omada-controllers kunt u de onderstaande bètafirmware (zie test agreement) installeren als noodoplossing.

Omada controller V3.2.14

• Omada_Controller_V3.2.15_Windows_32bit (bèta)
• Omada_Controller_V3.2.15_Windows_64bit (bèta)
• Omada_Controller_V3.2.15_Linux_x64.tar (bèta)
• Omada_Controller_V3.2.15_Linux_x64.deb (bèta)
• OC200(UN)_V1_1.2.5_Build 20211214 (bèta)

De officiële firmware release voor Omada Controllers

• Omada_Controller_V4.4.8_Linux_x64.tar  Release Note >
• Omada_Controller_V4.4.8_Linux_x64.deb  Release Note >
• Omada_Controller_V5.0.29_Windows  Release Note >
• Omada_Controller_V5.0.29_Linux_x64.tar Release Note >
• Omada_Controller_V5.0.29_Linux_x64.deb Release Note >
• OC200(UN)_V1_1.14.2 Build 20211215  Release Note > Built-in Omada Controller v5.0.29
• OC300(UN)_V1_1.7.0 Build 20211215  Release Note > Built-in Omada Controller v5.0.29

TP-Link laat verder weten:

1. De hierboven geleverde bètafirmware heeft log4j-versie bijgewerkt naar 2.15.0 om de oorspronkelijke kwetsbaarheid te verhelpen (CVE-2021-44228).
2. De hierboven geleverde officiële firmware heeft log4j-versie bijgewerkt naar 2.16.0 om de gevolgde kwetsbaarheid te verhelpen (CVE-2021-45046).
3. Omada-controllers of -services worden NIET getroffen door de laatste kwetsbaarheid (CVE-2021-45105). Maar TP-Link zal binnenkort nog een nieuwe officiële firmware uitbrengen om de log4j-versie te upgraden naar 2.17.0.
4. De officiële firmware voor Omada Controller v3.2.14 zal ook de log4j-versie upgraden naar 2.17.0, die daarna zal worden vrijgegeven.

Tot slot, als u een oudere Omada-controller gebruikt en u zich afvraagt ​​of u de SDN-controller kunt upgraden, kunt u de veelgestelde vragen op de website van TP-Link raadplegen.

Blog NCC Group

NCC Group is een wereldwijde expert op het gebied van cyberbeveiliging. NCC Group helpt bedrijven hun organisatie, merk, gevoelige informatie en reputatie te beschermen in een wereld met steeds meer digitale dreigingen. De experts van NCC Group hebben op basis van hun eigen research een artikel geschreven over de Log4j. Een aanrader voor wie op zoek is naar meer diepgaande informatie.

We houden de statements en instructies van onze vendoren nauwlettend in de gaten. Mocht er iets veranderen, dan vullen we dit artikel weer aan. Laatste update 7-2-2022 om 08.45 uur.