Kritische kwetsbaarheid Log4j: wat kunt u het beste doen?

wifi-security-banner-alcadis

In het weekend van 11 en 12 december werd duidelijk dat er een groot aantal applicaties getroffen zijn door een kritische kwetsbaarheid in java log-tool Log4j, aangeduid als CVE-2021-44228. Later zijn daar ook CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832 aan toegevoegd.

  • Op 10 december 2021 heeft Apache Log4j 2.15.0 voor Java 8-gebruikers uitgebracht om een ​​kwetsbaarheid voor de uitvoering van externe code (RCE) aan te pakken: CVE-2021-44228.
  • Op 13 december 2021 heeft Apache Log4j 2.12.2 voor Java 7-gebruikers en Log4j 2.16.0 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-45046.
  • Op 17 december 2021 heeft Apache Log4j 2.17.0 voor Java 8-gebruikers uitgebracht om een ​​denial-of-service (DOS)-kwetsbaarheid aan te pakken: CVE-2021-45105.
  • Op 28 december 2021 heeft Apache Log4j 2.17.1 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-44832.

Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met kwetsbare applicaties. Deze lijst wordt regelmatig aangevuld met informatie over applicaties die nog niet op de lijst staan. In dit artikel delen we tips van het NCSC en voorzien we u van de laatste informatie over de statements en instructies van onze vendoren.

Inhoudsopgave

Algemene tips van het NCSC

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar: Northwave SecurityPowershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    –  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk. Bijvoorbeeld met een Web Application Firewall (WAF) om malafide input te detecteren en/of blokkeren.
    –  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    –  Waar dit niet mogelijk is, adviseert het NVSC om te overwegen om systemen uit te schakelen totdat een patch beschikbaar is.
    –  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om zelf ook pagina’s van softwareleveranciers te monitoren.
  4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. NCSC adviseert te kijken naar misbruik vanaf tenminste 1 december.
  5. NCSC adviseert u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Opnieuw een kwetsbaarheid in Log4j aangetroffen

Op 14 december publiceerde de onderzoekers van LunaSec een blogpost waarin zij liever weten dat er opnieuw een kwetsbaarheid is gevonden in de java log-tool Log4j. De onderzoekers laten weten dat er na het updaten van systemen naar versie 2.15.0 gebruikers nog steeds kwetsbaar zijn. Updaten naar 2.16.0 wordt dan ook dringend geadviseerd.

In tests van de onderzoekers van Lunasec, blijkt bovendien dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers adviseren om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.

Voorbereiden op eventueel misbruik door Log4j

  1. Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft.
  2. Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
  3. Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
  4. Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
  5. Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
  6. Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
  7. Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden?  Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
  8. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Lees meer hierover in de factsheet Ransomware.
  9. Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.

Statements & instructies vendoren over Log4j

Alcatel-Lucent Enterprise

In onderstaande tabel kunt u vinden welke producten en/of softwareversies van Alcatel-Lucent Enterprise kwetsbaar zijn en wat de aanbeloven acties zijn. 

ProductVersieKwetsbaarImpactOplossing
PALMCloudNeeNVTNVT
Subscription ManagerCloudNeeNVTNVT
Agnostic Data LakeCloudNeeNVTNVT
Asset TrackingCloudJaOnder beoordelingOnder beoordeling
OV Cirrus10.1JaDe betrokken service is tot nader order gestopt met werkenOnder beoordeling
OV Cirrus4.6R1NeeNVTNVT
OV 25004.6R1 of eerderNeeNVTNVT
UcopiaAlleNeeNVTNVT
ClearpassAlleNeeNVTNVT
OV 3600AlleNeeNVTNVT
LBSCloudOnder beoordelingOnder beoordelingOnder beoordeling
RAP ApplianceAlleNeeNVTNVT
NaaSCloudOnder beoordelingOnder beoordelingOnder beoordeling
Titian SD-WANCloudOnder beoordelingOnder beoordelingOnder beoordeling
OmniSwitchAlle modellen, behalve OS2220NeeNVTNVT
OmniSwitchOS2020Onder beoordelingOnder beoordelingOnder beoordeling
OmniAccess Stellar Access PointsAlleNeeNVTNVT
OmniAccess WLAN AP’s & ControllersAlleNeeNVTNVT

Commscope Ruckus

Commscope Ruckus zal software-updates uitbrengen als oplossing voor deze kwetsbaarheid. Omdat het een kritiek probleem is, worden klanten dringend geadviseerd de fix toe te passen zodra deze beschikbaar is. In onderstaande tabel kunt u vinden welke producten en/of softwareversies kwetsbaar zijn en wat de aanbeloven acties zijn. 

ProductVulnerable ReleaseOplossingRelease date
FlexMaster9.13.1Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1
Open een case met TAC om mitigatiescript toe te passen
Niet kwetsbaar voor CVE-2021-44832
29-12-2021
Ruckus AnalyticsAlle versies.Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.
Niet kwetsbaar voor  CVE-2021-45105 of CVE-2021-44832
18-12-2021
Ruckus Cloud21.11Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.

CVE-2021-44228 opgelost
Niet kwetsbaar voor CVE-2021-45046, CVE-2021-45105
CVE-2021-44832 wordt onderzocht

20-12-2021
SCIJa

On prem versie  5.3.1, v5.4.2 en v5.5.x

SCI (Cloud): geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.
SCI (standalone/on-prem): zie KBA #10215 voor te nemen stappen.

Lost CVE-2021-44228, CVE-2021-45046 en CVE-2021-44832 op
SCI niet kwetsbaar voor CVE-2021-45105

SCI (Cloud): 16-12-2021
SCI (standalone/on-prem): 20-12-2021
SmartZone + Virtual SmartZone5.0 t/m 6.0KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site.

KSP lost CVE-2021-44228 en CVE-2021-45046 op
SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832

SZ 6.0: 17-12-2021 ( Let op! In het artikel van Ruckus staat geschreven dat de file geupload kan worden via administration->Diagnostics, maar in SZ 6.0 zit dit op een andere plek. Het makkelijkste is daarom om te zoeken op “diagnostics” in de zoekbalk)
SZ 5.2.2: 17-12-2021
SZ 5.1 en 5.0: 17-12-2021
SmartZone + Virtual SmartZone FIPs5.2.1.3

Overige SZ FIPS Releases

KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site.
Installeer de KSP wanneer beschikbaar op de Ruckus Support Site.

KSP lost CVE-2021-44228 en CVE-2021-45046 op
SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832

SZ FIPS 5.2.1.3: 17-12-2021
Overige releases zijn nog onder beoordeling
Unleashed Multi-Site Manager (UMM)2.0 t/m 2.6Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1
Open een case met TAC om mitigatiescript toe te passen

Niet kwetsbaar voor CVE-2021-44832 

29-12-2021

Producten die niet kwetsbaar zijn:

  • Alle Access Points (Inclusief de Unleashed AP’s)
  • Cloudpath
  • ICX Switches
  • Mobiele apps: de Ruckus Cloud app is niet kwetsbaar. Swipe, SPoT, Speedflex, Unleashed apps gebruiken android en worden niet beïnvloed.
  • Ruckus Network Director (RND, versie 3.0 en eerder)
  • SmartZone Dataplane
  • SPoT/vSPoT
  • Unleashed
  • ZoneDirector

De volgende producten worden op dit moment nog beoordeeld Ruckus LTE (inclusief LTE AP’s) en IoT

EnGenius

De experts van EnGenius hebben na zorgvuldig onderzoek laten weten dat hun producten en services niet getroffen zijn door de kwetsbaarheid Log4j.

IgniteNet

Volgens de productmanagers van IgniteNet zijn hun producten en diensten niet getroffen door de Log4J-kwetsbaarheid.

SonicWall

SonicWall heeft haar productlijn onderzocht om te bepalen welke producten door Log4J kunnen worden getroffen. In onderstaande tabel kunt u vinden welke producten kwetsbare versie(s) van Log4j gebruiken en of deze worden beïnvloed.

SonicWall-product (apparaat/Cloud/Virtual/OnPrem)ToestandBeschrijving
E-mail Security

  • Hosted Email Security (HES)
  • On-premise Email Security
BeïnvloedLog4j 2.17.0:  een nieuwe ES HotFix 10.0.13 is beschikbaar om te downloaden om CVE-2021-44228, CVE-2021-45046 en CVE-2021-45105 te elimineren. Hosted Email Security (HES) is automatisch gepatcht en klanten hoeven geen actie te ondernemen.

Log4j 2.17.1: SonicWall heeft Email Security uitgebreid geanalyseerd. Er zijn geen waarneembare kwetsbaarheden voor CVE-2021-44832 gevonden. Om toch het zekere voor het onzekere te nemen, werkt SonicWall aan de publicatie van een verbeterde e-mail security patch om de nieuwste Log4j 2.17.1-versie op te nemen.

NSM

  • NSM SaaS
  • NSM On-Premise
Beïnvloed

Log4j 2.17.0: NSM On-Prem HotFix 2.3.2-R12-H2 kan worden gedownload met log4j 2.17.0 voor het herstellen van CVE-2021-44228, CVE-2021-45046 en CVE-2021-45105.

Log4j 2.17.1: NSM SaaS 2.3.2-H8 is automatisch gepatcht met log4j 2.17.1 en klanten hoeven geen actie te ondernemen.

SonicWall voerde een uitgebreide analyse van NSM uit die resulteerde in geen waarneembare kwetsbaarheden voor CVE-2021-44832. Om toch het zekere voor het onzekere te nemen, werkt SonicWall aan de publicatie van een bijgewerkte NSM (On-Prem) firmware om de nieuwste Log4j 2.17.1-versie op te nemen.

WAFDeels beïnvloedWAF 3.x gebruikt Log4j, maar alleen wanneer de legacy ‘Cloud Management’-functie is ingeschakeld. SonicWall raadt klanten aan om ‘Cloud Management’ uit te schakelen indien ingeschakeld. Deze wijziging heeft geen invloed op de functionaliteit. Deze functie is standaard uitgeschakeld.

WAF 2.x en eerdere versies gebruiken Log4j niet en worden niet beïnvloed.

Gen5-firewalls (EOS)

  • TZ100/W
  • TZ200/W
  • TZ210/W
  • NSA 220/W
  • NSA 250M/250M-W
  • NSA 2400/MX/3500/4500/5500
  • NSA E5500/6500/6500/8500/8510
Niet beïnvloedLog4j2 wordt niet gebruikt.
Gen6-firewalls

  • TZ300/W; TZ350/W

  • TZ400/W

  • TZ500/W

  • TZ600

  • NSA 2600/2650/3600/3650/4600

    /4650/5600/5650/6600/6650

  • SM 9200/9400/9600/9800

  • NSa 9250/9450/9650

  • NSSP 12400/12800

  • NSV 10/25/50/100/200/400/800/1600 (ESX, KVM, HYPER-V, AWS, Azure)

Niet beïnvloedLog4j2 wordt niet gebruikt.
Gen7-firewalls

  • TZ270/W

  • TZ370/W

  • TZ470/W

  • TZ570/W

  • TZ670

  • NSA 2700/3700/4700/5700/6700

  • NSSP 10700/11700/13700/15700

  • NSV 270/470/870 (ESX, KVM, HYPER-V, AWS, Azure)

Niet beïnvloedLog4j2 wordt niet gebruikt.
SonicWall SwitchNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicWall Switch.
SMA 100

  • SMA 200/210/400/410
  • SMA 500v (ESX, KVM, Hyper-V, AWS, Azure)
Niet beïnvloedLog4j2 wordt niet gebruikt in de SMA100-appliance.
SMA 1000

  • SMA 6200/7200/6210/7210

  • SMA 8200v (ESX, KVM, Hyper-V, AWS, Azure)

  • SRA EX 7000

Niet beïnvloedVersie 12.1.0 en 12.4.1 gebruiken geen kwetsbare versie.
MSWNiet beïnvloedMysonicwall-service maakt geen gebruik van Log4j.
AnalyzerNiet beïnvloedAnalyzer versie 1.x maakt geen gebruik van de kwetsbare Log4j-versie.
GMSNiet beïnvloedGMS versie 9.x en 8.x maken geen gebruik van de kwetsbare Log4j-versie.
Capture Client & Capture Client PortalNiet beïnvloedLog4j2 wordt niet gebruikt in de Capture Client.
CASNiet beïnvloedLog4j2 wordt niet gebruikt in de CAS.
WAFNiet beïnvloedLog4j2 wordt niet gebruikt in de WAF.
Access PointsNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicWall Access Points.
WNMNiet beïnvloedLog4j2 wordt niet gebruikt in de WNM.
Capture Security ApplianceNiet beïnvloedLog4j2 wordt niet gebruikt in de Capture Security-appliance.
WXA

  • – WXA 2000/4000

    – Virtual: WXA 5000

    – Software: WXA 500, WXA 6000

Niet beïnvloedWXA gebruikt de kwetsbare Log4j-versie niet.
SonicCoreNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicCore.
SonicCoreXNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicCoreX.
CSCMANiet beïnvloedCSCMA gebruikt de kwetsbare Log4j-versie niet.
EPRSNiet beïnvloedEPRS 1.x en 2.x maken geen gebruik van de kwetsbare Log4j-versie.
Cloud EdgeNiet beïnvloedCloud Edge maakt geen gebruik van de kwetsbare Log4j-versie.
AnalyticsNiet beïnvloedAnalytics maakt geen gebruik van de kwetsbare Log4j-versie

Betrokken producten/services: 

E-mail Security (ES 10.0.12 en eerder )

WAF 3.0.x

WAF 3.x gebruikt Log4j, maar alleen wanneer de legacy ‘Cloud Management’-functie is ingeschakeld. SonicWall raadt klanten aan om ‘Cloudbeheer’ uit te schakelen indien ingeschakeld. Deze wijziging heeft geen invloed op de functionaliteit en deze functie is standaard uitgeschakeld.  WAF 2.x en eerdere versies gebruiken Log4j niet en worden niet beïnvloed.

NSM 2.x (OnPrem, SaaS)

  • NSM klanten met on-prem apparaten moeten upgraden naar NSM 2.3.2-R12-H2. Lees het Knowledge Base-artikel (KB) zorgvuldig door en volg de instructies.
  • NSM SaaS is automatisch gepatcht en klanten hoeven geen actie te ondernemen.

Tot slot willen we u ook nog attenderen op de Support Notice en de Sonic Alert die beschikbaar zijn gesteld. Op de Support Notice vermelden we ook welke IPS en WAF signatures er gereleased zijn om partners/klanten te beschermen.

Technicolor

In het verleden heeft Alcadis ook gateways verkocht van het merk Technicolor. Het is alweer een behoorlijke tijd geleden sinds we deze producten hebben verkocht. Toch hebben we ook bij deze vendor even navraag gedaan naar de status omtrent Log4j. De producten die wij destijds hebben verkocht (Telco Legacy, including SpeedTouch en (Cable Modem non-RDK-B) zijn niet getroffen door de kwetsbaarheid Log4j.

TP-Link
TP-Link is op de hoogte van de kwetsbaarheid in Apache Log4j die wordt gebruikt in de Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI-functies die worden gebruikt in de configuratie, logberichten en parameters beschermen niet tegen door een aanvaller bestuurde LDAP en andere JNDI-gerelateerde endpoints).

Producten/services die niet kwetsbaar zijn

  • Alle Wi-Fi Routers
  • Alle Mesh Wi-Fi (Deco)
  • Alle Range Extenders
  • Alle Powerline adapters
  • Alle Mobile Wi-Fi producten
  • Alle SMB Routers, Switches, Omada EAP’s, en Pharos CPE’s
  • Alle VIGI products
  • Alle apps: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
  • Pharos Control

Betrokken Producten/Services

  • Omada Cloud Services
  • Omada Controller (Windows)
  • Omada Controller (Linux)
  • OC200
  • OC300

Beschikbare oplossingen
Momenteel heeft het TP-Link-team de kwetsbaarheid op de cloudplatforms verholpen. Voor lokale Omada-controllers kunt u de onderstaande bètafirmware (zie test agreement) installeren als noodoplossing.

Omada controller V3.2.14

De officiële firmware release voor Omada Controllers

TP-Link laat verder weten:

  1. De hierboven geleverde bètafirmware heeft log4j-versie bijgewerkt naar 2.15.0 om de oorspronkelijke kwetsbaarheid te verhelpen (CVE-2021-44228).
  2. De hierboven geleverde officiële firmware heeft log4j-versie bijgewerkt naar 2.16.0 om de gevolgde kwetsbaarheid te verhelpen (CVE-2021-45046).
  3. Omada-controllers of -services worden NIET getroffen door de laatste kwetsbaarheid (CVE-2021-45105). Maar TP-Link zal binnenkort nog een nieuwe officiële firmware uitbrengen om de log4j-versie te upgraden naar 2.17.0.
  4. De officiële firmware voor Omada Controller v3.2.14 zal ook de log4j-versie upgraden naar 2.17.0, die daarna zal worden vrijgegeven.

Tot slot, als u een oudere Omada-controller gebruikt en u zich afvraagt ​​of u de SDN-controller kunt upgraden, kunt u de veelgestelde vragen op de website van TP-Link raadplegen.

Blog NCC Group

NCC Group is een wereldwijde expert op het gebied van cyberbeveiliging. NCC Group helpt bedrijven hun organisatie, merk, gevoelige informatie en reputatie te beschermen in een wereld met steeds meer digitale dreigingen. De experts van NCC Group hebben op basis van hun eigen research een artikel geschreven over de Log4j. Een aanrader voor wie op zoek is naar meer diepgaande informatie.

We houden de statements en instructies van onze vendoren nauwlettend in de gaten. Mocht er iets veranderen, dan vullen we dit artikel weer aan. Laatste update 11-1-2022 om 11.28 uur.