Afgelopen week was het groot nieuws: een grote kwetsbaarheid in applicaties. Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j (https://github.com/NCSC-NL/log4shell/tree/main/software). Hieruit blijkt dat wellicht ook uw applicaties kwetsbaar zijn, met name in het geval deze rechtstreeks benaderbaar zijn via internet.
#WatisLog4j?
Log4j (v2) is een logging tool gebruikt in veel Java applicaties om bij te houden wat er allemaal gebeurt met de applicatie. Deze logbestanden zijn van essentieel belang voor het oplossen van problemen in de software en data-analyse. Logging kan ook juridische grondslag hebben. Kortom, iedereen gebruikt logging, en Log4j (v2) is daarvoor een veelgebruikte module in Java. Gebruikt u Java, dan is het aannemelijk dat Log4j gebruikt wordt.
#Watisdeimpact?
De impact is enorm, aangezien Log4j in zoveel verschillende omgevingen wordt gebruikt. Omdat Log4j een dependency is voor verschillende software, zullen veel bedrijven zich ook niet bewust zijn dat deze software gebruikt wordt.
#WatdoetConscia?
Conscia volgt het advies van het NCSC op om zo snel mogelijk de beschikbare software updates door te voeren. De netwerken en systemen van Conscia worden 24/7 door ons SOC gemonitord om te volgen of er misbruik wordt gemaakt van de kwetsbaarheid. Met onze Managed Services klanten inventariseren we welke apparatuur kwetsbaar is. Al onze klanten, ook waarvoor wij geen apparatuur beheren, adviseren wij dringend om de adviezen van het NCSC op te volgen en zelf grondig onderzoek te doen, en waakzaam te zijn op afwijkingen in systemen of netwerken.
De volgende stappen worden door het NCSC aangeraden om uit te voeren:
1: Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hier zijn verschillende scripts voor Linux en Windows voor beschikbaar: Northwave Security, Powershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
2: Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
- Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
- Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
Alle versies: verwijder de JdniLookup en JdniManager classes uit log4j-core.jar - Waar dit niet mogelijk is, adviseren wij het systeem uit te schakelen totdat een patch beschikbaar is.
- De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
3: Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik in het laatste jaar.
4: Wij adviseren u om detectiemaatregelen in te schakelen. Op de site van NCSC vindt u een groot en continu groeiend aantal IOC’s en detectieregels voor IP’s en IDS die u kunt implementeren.
Voor onze Managed Service klanten zijn wij met inventarisatie bezig om deze stappen zo veel als mogelijk uit te voeren. Hierover wordt u uiteraard proactief geïnformeerd.
Voor vragen kunt u contact opnemen met onze Servicedesk, via telefoonnummer +31 88 522 89 00.