Zeer ernstige kwetsbaarheid - Apache Log4j (CVE-2021-44228)

Met verschillende monitoring tooling hebben we diverse mogelijke kwetsbaarheden weten op te sporen en de meeste gevallen te mitigeren. In enkele gevallen wachten wij nog altijd op input van de software fabrikant.

Inmiddels zijn er in totaal 5 kwetsbaarheden bekend gemaakt in de Log4j software en volgen er mogelijk nog meer. Dit betekend dat enkel de laatste update van Log4j alle kwetsbaarheden verhelpt, we zien dat niet alle software leveranciers over de laatste patches beschikken.

Omdat er nieuwe kwetsbaarheden bekend worden hebben wij het Virtual Desktop (VDI / DaaS) platform nog niet publiek vrijgegeven, enkel vertrouwde IP adressen worden toegelaten. Via onze helpdesk kunnen nieuwe te vertrouwen adressen worden toegevoegd. Op het moment dat wij 100% zeker zijn dat alle kwetsbaarheden bekend en verholpen zijn zullen wij het Virtual Desktop platform pas weer publiek vrijgeven.

Zoals we in onze e-mail van afgelopen zondag 12-12-2021 hebben gemeld zijn wij met de hoogste prioriteit en aandacht bezig met het onderzoeken van de mogelijke impact van de onlangs bekend gemaakte (zeer zorgwekkende) “Log4j” kwetsbaarheid. Graag houden wij u op de hoogte van de ontwikkelingen omtrent deze kwetsbaarheid.

Inmiddels is er een tweede en derde lek binnen de Log4j software aangetroffen, het tweede lek wordt inmiddels ook actief misbruikt. Veel leveranciers zullen dus na het uitbrengen van een patch voor het initiële lek ook nog een patch voor de nieuwe kwetsbaarheden moeten uitbrengen. Wij volgen de situatie op de voet en zullen z.s.m. na het uitbrengen van een patch deze installeren.

Inmiddels wordt de lijst van kwetsbare software gestaag groter maar blijft verre van compleet omdat de Log4j software ook in veel branche specifieke of maatwerk software van toepassing is. Het NCSC heeft een goede lijst gepubliceerd en werkt deze regelmatig bij op basis van nieuwe kwetsbaarheden of beschikbaar gekomen oplossingen: https://github.com/NCSC-NL/log4shell/tree/main/software

Inmiddels hebben wij tooling geïnstalleerd binnen onze monitoring software die bekende kwetsbaarheden van verschillende software leveranciers (die niet door ons zijn geleverd) kan opsporen binnen de door ons beheerde omgevingen, gevallen die als mogelijk kwetsbaar zijn aangemerkt hebben wij op basis van de op dit moment beschikbare informatie preventief (indien dit geen impact heeft op de productie omgeving) gemitigeerd door de software (tijdelijk) te verwijderen, in te perken of uit te schakelen. Wij blijven deze controles dag en nacht uitvoeren en zullen indien nodig zo snel mogelijk handelen en contact met de IT contactpersoon binnen jullie organisatie opnemen.

Ondanks onze grote aandacht en extra tooling kunnen wij niet met zekerheid zeggen dat al jullie applicaties volledig onderzocht zijn, omdat wij geen compleet beeld hebben van jullie applicatie landschap. Voor bijvoorbeeld Web applicaties die extern gehost worden hebben wij geen mogelijkheden om deze te onderzoeken en zijn we afhankelijk van informatie die via de leverancier tot ons komt. We vragen jullie dus nogmaals om aandachtig een overzicht te maken van (web) applicaties die jullie gebruiken en deze te toetsen met de lijst van de NCSC, indien de software hier niet op voor komt neem dan met deze leveranciers contact op om te laten bevestigen dat hun software niet getroffen is door de Log4j kwetsbaarheid. Meld eventuele door de leverancier ontdekte kwetsbaarheden altijd bij onze helpdesk zodat wij eventuele vervolg stappen kunnen nemen m.b.t. de continuïteit van jullie omgeving en backups en andere klanten proactief kunnen informeren.

Op ons virtual desktop platform zijn nog steeds beperkende maatregelen actief, alleen vertrouwde IP adressen worden toegelaten. Inmiddels hebben wij een patch toegepast om de eerste kwetsbaarheid definitief te verhelpen, de patch voor de tweede kwetsbaarheid wordt vanavond uitgerold op het hosting gedeelte van de omgeving. Vervolgens moet er op elke klant desktop nog een patch worden uitgerold, zodra dit onderhoudsvenster ingepland wordt zullen we dit communiceren. Daarna kunnen we de omgeving pas weer publiek beschikbaar maken.

Als laatste willen wij iedereen vragen de komende tijd extra alert te zijn, open nooit bijlagen of links uit e-mails van onbekende afzenders. Kerst groeten en digitale cadeau bonnen worden op het moment veel als phishing mail aangeboden. Als je iets opmerkt wat je niet vertrouwt of waar je over twijfelt neem dan altijd eerst contact op met onze helpdesk of stuur het betreffende bericht door aan helpdesk@arrowsict.nl met het verzoek het te onderzoeken.

Zoals we in onze e-mail van afgelopen zondag 12-12-2021 hebben gemeld zijn wij met de hoogste prioriteit en aandacht bezig met het onderzoeken van de mogelijk impact van de onlangs bekend gemaakte (zeer zorgwekkende) “Log4j” kwetsbaarheid op onze producten en diensten. Graag houden wij u op de hoogte van de ontwikkelingen omtrent deze kwetsbaarheid.

Van de meeste leveranciers hebben we afdoende informatie ontvangen omtrent het al dan niet kwetsbaar zijn van hun product of dienst, deze diensten hebben wij in kaart gebracht op alle klantomgevingen die wij in beheer hebben, in de meeste gevallen zijn de door ons geleverde producten en diensten niet getroffen door deze kwetsbaarheid omdat de Log4j software hier niet in gebruikt wordt. In enkele gevallen werd de Log4j software gebruikt en heeft de leverancier een update beschikbaar gesteld, deze update is inmiddels toegepast of wordt op zo kort mogelijke termijn toegepast op uw systeem. Daarnaast zijn er nog enkele gevallen waar nog onvoldoende informatie beschikbaar is, gevallen die als mogelijk kwetsbaar zijn aangemerkt zullen wij preventief (indien dit geen impact heeft op de productie omgeving) gaan mitigeren door de software (tijdelijk) te verwijderen, in te perken of uit te schakelen. Indien er impact op de productie omgeving te verwachten is zal onze helpdesk contact met u opnemen om dit nader uit te leggen en af te stemmen.

Omdat wij buiten de door ons beheerde producten en diensten geen (volledig) zicht hebben op jullie applicatie landschap willen we iedereen nogmaals met klem adviseren om met al jullie software leveranciers contact op te nemen en te vragen of jullie product of dienst mogelijk getroffen is door de Log4j kwetsbaarheid. Meld eventuele door de leverancier ontdekte kwetsbaarheden altijd bij onze helpdesk zodat wij eventuele vervolg stappen kunnen nemen m.b.t. de continuïteit van jullie omgeving en backups en andere klanten proactief kunnen informeren.

Ons Virtual Desktop platform was mogelijk kwetsbaar en is daarom zondag preventief offline gehaald en enkel aan vertrouwde IP adressen beschikbaar gesteld, hierdoor kan het voorkomen dat thuiswerkers niet in kunnen loggen. Neem in dit geval contact op met onze helpdesk zodat we het IP adres van deze gebruikers aan onze vertrouwde lijst kunnen toevoegen.
Inmiddels hebben wij van de leverancier (VMware) een patch ontvangen om de kwetsbaarheid definitief te verhelpen, hiervoor hebben wij ons wijzigingsproces in gang gezet. Na de test en acceptatie van deze patch zullen wij in een aparte mail een spoedonderhoud venster aankondigen om de patch te installeren, daarna kunnen gebruikers weer vanaf alle locaties inloggen.

Als laatste willen wij iedereen vragen de komende tijd extra alert te zijn, open nooit bijlagen of links uit e-mails van onbekende afzenders. Kerst groeten en digitale cadeau bonnen worden op het moment veel als phishing mail aangeboden. Als je iets opmerkt wat je niet vertrouwt of waar je over twijfelt neem dan altijd eerst contact op met onze helpdesk of stuur het betreffende bericht door aan helpdesk@arrowsict.nl met het verzoek het te onderzoeken.

LET OP: Deze update heeft enkel betrekking op klanten die gebruik maken van ons VDI (Virtual Desktop) platform:

Zoals vanmiddag aangegeven hebben wij in overleg met onze datacenter leverancier besloten het VDI platform offline te nemen om veiligheid te waarborgen en z.s.m. een nood patch te installeren om de zeer ernstige Apache Log4j kwetsbaarheid te mitigeren.

Vanuit VMWare, de leverancier van het VDI platform, is nog geen patch beschikbaar gesteld. We hebben in overleg met onze leverancier besloten om het platform beschikbaar te gaan stellen vanuit vertrouwde, bij ons bekende IP adressen.

We hebben op dit moment het VDI platform vrijgegeven voor de IP adressen die bij ons bekend zijn, in de praktijk betekend dit dat uw verbinding op kantoor vrijgegeven zal zijn en het VDI platform vanaf kantoor weer bereikbaar is.

Wij begrijpen dat in deze tijd van thuis werken meerdere IP adressen vrijgegeven moeten worden. Om uw ip adres op te zoeken kunt u naar http://www.watismijnip.nl gaan en een screenshot van deze pagina aan ons doorsturen via helpdesk@arrowsict.nl , natuurlijk kunt ook telefonisch contact opnemen zodat wij uw ip adres opzoeken en toevoegen aan de vertrouwde lijst.

Wij blijven met al onze leveranciers in overleg om meer duidelijkheid te krijgen over de impact op onze diensten, vooralsnog lijken de meeste van onze diensten niet getroffen te zijn of zijn inmiddels van de juiste patches voorzien.

Wij adviseren u nogmaals om zo snel mogelijk met de leverancier(s) van uw (Web/SaaS) applicaties te schakelen om te controleren of deze producten mogelijk ook kwetsbaar zijn voor de Apache Log4j kwetsbaarheid.

Mogelijk heeft het u het al uit de media vernomen, er is een zeer ernstige kwetsbaarheid aangetroffen in de veelgebruikte opensourcetool Apache Log4j die gebruikt wordt in Java-applicaties, zoals webapplicaties. Dit lek staat kwaadwillende toe op afstand opdrachten aan webapplicaties te geven om op die manier toegang te krijgen tot de systemen en de data. Op deze manier kunnen ook virussen en ransomware de applicatie en/of het netwerk bereiken.

De kwetsbaarheid is bekend als CVE-2021-44228 en staat ook bekend als Log4Shell of LogJam. Het NCSC schaalt de impact van deze kwetsbaarheid in als risico HIGH/ impact HIGH! Dit is de hoogst mogelijke risico kwalificatie.
Inmiddels is ook bekend dat er actief misbruik van de kwetsbaarheid wordt gemaakt.

Specialisten verwachten op korte termijn een enorme toename van misbruik van dit lek. Wij zijn aan met onze leveranciers aan het onderzoeken welke van onze eigen systemen mogelijk kwetsbaar zijn en hoe we deze z.s.m. kunnen patchen.

Om deze reden is op dit moment ons VDI platform offline, er worden op dit moment spoed patches geinstalleerd op het VMWare Horizon platform. Het platform zal weer beschikbaar worden gesteld op het moment dat alle kwetsbaarheden zijn bijgewerkt.

Wij houden u op de hoogte met de verdere ontwikkelingen zodra leveranciers van producten die wij aan klanten beschikbaar stellen met updates komen.

Daar wij geen zicht hebben op uw volledige applicatie landschap, adviseren we u met klem het volgende:

Neem zo snel mogelijk contact op met uw (Web / SaaS) applicatie leveranciers. Apache heeft inmiddels updates uitgebracht om de kwetsbaarheid te verhelpen. Indien uw leverancier niet direct het lek kan dichten adviseren wij de applicatie offline te (laten) halen.