Log4J kwetsbaarheid – patch ASAP !

  • 13 december 2021
  • Posted by: Pieter Van der Hulst
  • Categories: computer forensics, incident response
Geen reacties

Er zijn momenteel wereldwijd massaal scans op kwetsbare Log4j 2-implementaties door kwaadwillenden . Ook zijn er reeds succesvolle aanvallen gemeld!

De BSI (Het Bundesamts für Sicherheit in der Informationstechnik, onderdeel van het Duitse ministerie van Binnenlandse Zaken)  heeft code rood, oftewel de hoogste van vier alarmfasen, afgekondigd om de ernst van de situatie aan te geven. De reden voor deze inschatting is dat Log4j 2 zo wijdverspreid is, de kwetsbaarheid eenvoudig uit te buiten is en er proof-of-concept-code publiekelijk beschikbaar is.

Er zit een ernstige kwetsbaarheid in de opensourcetool Apache Log4j 2 zit, die het mogelijk maakt voor ongeauthenticeerden om op afstand willekeurige code te injecteren en uit te voeren met de rechten van de webserver. De Java-logtool wordt door veel organisaties gebruikt, waardoor het risico op misbruik als hoog gezien wordt. De kwetsbaarheid heeft de aanduiding CVE-2021-44228 gekregen en staat ook bekend als Log4Shell of LogJam. Apache heeft updates uitgebracht om de kwetsbaarheid te verhelpen en bij versie 2.15.0 is het probleem verholpen.

Volgens het Microsoft Threat Intelligence Center wordt de kwetsbaarheid al ingezet om Cobalt Strike-malware en coinminers te plaatsten. Netlab 360 waarschuwt dat criminelen de kwetsbaarheid misbruiken om Mirai- en Muhstik-malware voor botnets te installeren op systemen.

En waar situeert zich dit probleem ?

Helaas niet zo eenvoudig om hierop een antwoord te geven ! Tenzij je super gedetailleerde inzichten hebt in alle software die in gebruik zijn in jouw organisatie, en jetevens ook nog eens een zicht hebt op de onderliggende componenten (die vaak niet in kaart zijn in IT Asset Management systemen). Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Deze pagina gaat ook gebruikt worden om scan- en detectiemogelijkheden en Indicators of Compromise bekend te maken.

Hoe kan je dit fixen ?

Daarom hebben wij onderstaande te-nemen-stappen opgesteld:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hier zijn verschillende scripts voor Linux en Windows voor beschikbaar: Northwave SecurityPowershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    –  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
    –  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
    Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
    Alle versies: verwijder de JdniLookup en JdniManager classes uit log4j-core.jar
    –  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
    –  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
  3. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik vanaf tenminste 1 december.
  4. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Hier enkele zeer interessante documenten:

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation – Microsoft Security Blog

Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 – Microsoft Security Response Center

Vragen: aarzel zeker niet om ons te contacteren !