Op vrijdag 10 december is er een zeer ernstige vulnerability ontdekt in Log4j 2, een stuk open source code van Apache. Wij zijn direct aan de slag gegaan om voor onze klanten uit te zoeken of zijn ook gevaar liepen. Ook hebben we een tool gebouwd die u helpt om vulnerabilities op te sporen. Ondertussen raden we iedereen aan de nieuwe beveiligingsupdates te installeren!

Wereldwijd is er groot alarm geslagen vanwege een vulnerability die is gevonden in een deel van de open source code die door Apache ontwikkeld is. Het gaat om Log4j 2, dat door heel veel ontwikkelaars wordt gebruikt om logging in hun applicaties mogelijk te maken. Door deze vulnerability, die inmiddels onder de namen Log4Shell of LogJam bekend staat, kunnen hackers de applicatie op afstand opdragen code uit te voeren, waarmee ze zichzelf toegang kunnen verschaffen tot het systeem, zonder dat gebruikers dat doorhebben.

Systemen kunnen zo worden gegijzeld, of er kunnen zogenaamde coin-miners geïnstalleerd worden. Een coin-miner is nodig om cryptocurrency te verkrijgen en gaat gepaard met een zware belasting van de CPU van systemen. Nu komen dit soort issues wel vaker voor, maar doordat deze code in zo veel software gebruikt wordt (bijv. ook software van VMWare, Cisco en Dell) is de impact heel groot. Het Nationaal Cyber Security Centrum heeft een lijst met applicaties gepubliceerd die risico lopen. Deze lijst wordt nog meerdere keren per dag geüpdatet.

TMDi direct aan de slag

Onze medewerkers zijn op zaterdag 11 december begonnen met het onderzoeken van die impact, eerst en vooral in onze eigen ontwikkelde software (iDentacle) en daarna de Identity producten van Micro Focus. Dat heeft geresulteerd dat we op zondagochtend in een eerste mail aan onze klanten  iDentacle gebruikers gelukkig al gerust konden stellen: logging in deze applicaties gebeurd niet met Log4j 2!

Voor Micro Focus is het antwoord iets lastiger, omdat in verschillende producten wel Log4j 2 gebruikt wordt, maar niet allemaal de versies die het probleem hebben. In de mail hebben we ook aan onze klanten aangeboden de systemen te onderzoeken op het gebruik van de probleemversies van Log4j 2. Dat zijn we vanaf zondagochtend ook actief gaan doen, waardoor de meeste klanten voor maandagochtend al weer beschermde systemen hadden.

Eigen tool gebouwd

Op maandag 13 december heeft onze in-house developer een handigere tool gebouwd dan tot dan toe beschikbaar was: we kunnen nu op een server met één commando alle mappen afzoeken naar de Log4j 2-versies die risico lopen. Omdat de meeste systemen die bij ons in support zijn inmiddels gescand en weer veilig zijn, bieden we onze klanten aan om ook hun andere servers te scannen. Dat heeft geresulteerd in diverse kleine software applicaties die niet in de NCSC database genoemd worden, maar natuurlijk wel voor problemen kunnen zorgen!

Een tweede vulnerability

Inmiddels is gebleken dat Log4j 2 v2.15 in specifieke gevallen nog een vulnerability heeft. Bij een niet-standaard installatie kaneen kwaadwillende ongelimiteerd en geauthentiseerd log informatie toevoegen, waardoor een machine uit vrije ruimte zou kunnen raken. Dit specifieke probleem wordt een Denial Of Service (DOS) genoemd en kan ervoor zorgen dat de machine niet meer doet wat hij moet doen. Vooralsnog lijkt er geen mogelijkheid tot “Remote Code Execution” wat het oorspronkelijke probleem was. De DOS-attack zal ook geen gegevens zichtbaar maken voor hackers of de mogelijkheid om ransomware te injecteren. Maar een server die crasht, is nog steeds een serieus probleem! Dit probleem wordt verholpen in v2.16, dat inmiddels beschikbaar is bij Apache.

Hoewel het natuurlijk altijd verstandig is om geen software te laten draaien waarvan je weet dat er een vulnerability in zit, raden we aan om eerst en vooral het oorspronkelijke probleem op te lossen. Als u zich zorgen maakt over de status van uw servers, neem dan gerust contact met me op. Ook als u (nog) geen klant bent bij TMD informatisering willen we u graag helpen! Dan kunt ook u met een gerust gevoel de kerstperiode in!