Search
Generic filters
Exact matches only
Filter by Custom Post Type

Apache Log4j kwetsbaarheid - CVE-2021-44228

Het Motiv SOC is op 10-12-2021 op de hoogte gesteld van een kritieke kwetsbaarheid in Apache Log4j (CVE-2021-44228), een Java logging library. De kwetsbaarheid is bekend als CVE-2021-44228, Log4Shell en LogJam. Er wordt op dit moment waargenomen dat er actief wordt gezocht naar, en misbruik wordt gemaakt van, kwetsbare systemen. In dit bericht houden wij u op de hoogte van de ontwikkelingen rondom deze kwetsbaarheid.

Beschrijving CVE-2021-44228

Wat is Apache Log4j 2?

Log4j is een veel gebruikte open source bibliotheek die vooral door IT-ontwikkelaars wordt gebruikt voor logboekdoeleinden. De kwetsbaarheid stelt een aanvaller in staat willekeurige code uitvoeren binnen het Java-proces en de controle over het getroffen systeem over te nemen.

Wat is het risico?

Door het misbruiken van de kwetsbaarheid is het voor aanvallers mogelijk om door middel van het uitvoeren van code controle te krijgen over de server waarop Log4j draait. Door middel van een publiekelijk toegankelijk invoerveld of een speciaal HTTP-verzoek kan een aanvaller kwaadwillende invoer laten vastleggen door door Log4j. Hiermee kan een bestand worden verkregen van de server van de aanvaller. Het verkregen bestand wordt vervolgens uitgevoerd door Java.

Op dit moment wordt actief misbruik gemaakt van deze kwetsbaarheid.

Updates

Motiv volgt de ontwikkelingen rondom deze kwetsbaarheid nauwgezet. Indien nodig passen wij onze adviezen en maatregelen direct aan. Hieronder volgt een overzicht van onze updates hieromtrent:

Update (7)

24 december 2021

Onderstaande maatregelen implementeren wij in aanvulling op de eerder genomen maatregelen:

  • Gezien het aanhoudende dreigingsniveau heeft Motiv ervoor gekozen om tijdens de kerstvakantie preventief de waakdiensten te verzwaren. Zo kan er, indien nodig, sneller gereageerd worden op eventuele incidenten of bedreigingen voortkomend uit de Log4J kwetsbaarheden;
  • Motiv werkt actief aan de ‘blocklists’ op haar Firewalls en vult deze indien mogelijk aan met malafide IP adressen die geassocieerd worden aan Log4J. Voor klanten die het beheer van de Firewalls in eigen handen hebben adviseren wij gebruik te maken van GreynoiseIP lijsten met callback servers [9] en scanning IP’s [10] om blokkades aan te vullen.

Update (6)

21 december 2021

Deze update is aanvullend op de eerdere maatregelen die wij getroffen hebben rondom het patchen van onze eigen systemen en diensten, het continu actualiseren van signatures en het proactief inzetten van kwetsbaarhedenscans. 

Technische informatie

Dit weekend is bekend geworden dat er een additionele kwetsbaarheid in de uitgebrachte versie 2.16.0 van Log4j aanwezig is, aangemeld onder CVE-2021-45105. Deze kwetsbaarheid stelt een kwaadwillende op afstand in staat om de inhoud van logbestanden te manipuleren en zodoende een Denial of Service aanval uit te voeren. We hebben de actuele feiten opgesomd [8]: 

  • Log4j versies 1.x zijn niet kwetsbaar; 
  • Log4j versies 2.x zijn tot aan versie 2.16 kwetsbaar; 
  • Let op: Alleen de Log4j-core JAR files zijn kwetsbaar. Applicaties die alleen de Log4j-api JAR files gebruiken zonder de Log4j-core JAR files zijn niet kwetsbaar. 

Advies

Motiv adviseert om zo snel mogelijk één van de volgende mitigaties door te voeren:  

  • Systemen die gebruik maken van Java 8 (of hogere versies) updaten naar versie 2.17.0 ; 
  • Systemen die Java 7 moeten blijven gebruiken updaten naar versie 2.12.2 ; 
  • Anders is het ook mogelijk om één van de mitigerende maatregelen door te voeren in de configuratie: 
  • Vervangen van Context Lookups (bijv. ${ctx:loginId} of $${ctx:loginId}) door Thread Context Map patterns (%X, %mdc of %MDC), binnen ‘PatternLayout’ in de logconfiguratie; 
  • Verwijderen van Context Lookups die invoer van een externe bron verwerken (zoals HTTP-headers en gebruikersinvoer) uit de de logconfiguratie. 

Update (5)

15 december 2021

Naast de in de vorige update benoemde maatregelen heeft Motiv vandaag (woensdag 15 december 2021) de volgende maatregelen genomen:

Verschillende bronnen spreken inmiddels over een tweede kwetsbaarheid in Log4j, waarmee een Denial of Service (DOS) mogelijk zou zijn, ook wanneer er geüpdatet is naar versie 2.15 of mitigerende stappen zijn genomen. Echter claimen andere gerenommeerde bronnen dat er naast de DOS nog steeds de mogelijkheid is tot het op afstand uitvoeren van code onder specifieke voorwaarden.

Na de 2.15.0 update van Log4j is er een additionele aanvalsvector geïdentificeerd en gerapporteerd in CVE-2021-45046[1]. De belangrijkste (technische) informatie omtrent de kwetsbaarheid is hieronder weergegeven: 

Technische informatie 

      • Er is de mogelijkheid dat systemen nog steeds kwetsbaar zijn voor de Log4Shell (CVE-2021-44228) ende DOS kwetsbaarheid (CVE-2021-45046) als er geen update gedaan is naar versie 2.15.0 / 2.16.0 en één van de volgende mitigaties is uitgevoerd [2]: 
      • “noMsgFormatLookups” flag is ingeschakeld 
      • “%m{nolookups}” is ingeschakeld in combinatie met in de “ThreadContext” een Context Lookup (bijv. “$${ctx:loginId}” of Thread Context Map pattern (bijv. %X, %mdc of %MDC) 
      • Indien het systeem een update heeft gehad naar versie 2.15.0 is deze kwetsbaar voor een DOS aanval onder de voorwaarde dat de logconfiguratie een niet standaard “Pattern Layout” gebruikt. 
      • “ThreadContext” een Context Lookup (bijv. “$${ctx:loginId}” of Thread Context Map pattern (bijv. %X, %mdc of %MDC) 
      • Log4j versies 1.x zijn niet kwetsbaar voor de kwetsbaarheid 
      • Log4j versies 2.x zijn tot aan versie 2.16.0 kwetsbaar  
      • Let op: alleen de Log4j-core JAR files zijn kwetsbaar, applicaties die alleen de log4j-api JAR file gebruiken zijn niet kwetsbaar 

Advies

Motiv adviseert om zo snel mogelijk één van de volgende mitigaties door te voeren: 

    • Systemen die gebruik maken van Java 8 (of hogere versies) updaten naar versie 2.16.0
    • Systemen die Java 7 moeten blijven gebruiken updaten naar versie 2.12.2 (op het moment van schrijven nog niet beschikbaar)  
    • Vendor update: (work in progress, expected to be available soon)[1]  
    • Anders is het ook mogelijk om de JndiLookup class te verwijderen van het classpath met behulp van het onderstaande commando:  
    • zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class  

Update (4)

13 december 2021

Naast de in de vorige update benoemde maatregelen heeft Motiv vandaag (maandag 13 december 2021) de volgende maatregelen genomen:

  • Reeds geïmplementeerde signatures worden actief bijgewerkt wanneer onze leveranciers hier een update voor ter beschikking stellen; 
  • Het SOC van Motiv ontwikkelt use-cases om misbruik van de kwetsbaarheid te kunnen detecteren, bijvoorbeeld als wij verkeer naar bekende ‘callback adressen’ zien;
  • Motiv blijft proactief kwetsbaarhedenscans inzetten om voor klanten met een beheercontract inzicht te kunnen verschaffen in (mogelijk) kwetsbare componenten. Wij nemen contact op over de resultaten van de kwetsbaarhedenscans;
  • De verhoogde dijkbewaking blijft van kracht. 

Aanvullend advies

Motiv neemt alle mogelijke maatregelen om haar klanten te beveiligen, dit doen wij voornamelijk door het aanscherpen van preventieve maatregelen, het ontwikkelen van nieuwe monitoring en het uitvoeren van kwetsbaarhedenscans. Helaas zijn deze maatregelen afhankelijk van bekende aanvalsvectoreni, en daarmee mogelijk niet volledig waterdicht (er kunnen immers nieuwe aanvalsvectoren toegepast worden). Daarom adviseren wij om te allen tijde met focus kwetsbare systemen in kaart te brengen en te voorzien van de ter beschikking gestelde patches.


Update (3)

12 december 2021

Naast de in de vorige update benoemde maatregelen heeft Motiv de volgende maatregelen genomen: 

  • Motiv heeft, naast de activiteiten en maatregelen sinds 10 december, een speciaal team aangesteld dat tot nader order klanten zal adviseren en ondersteunen met het verkrijgen van inzicht en het treffen van mitigerende maatregelen;
  • Motiv blijft proactief kwetsbaarhedenscans inzetten om voor klanten met een beheercontract inzicht te kunnen verschaffen in (mogelijk) kwetsbare componenten;
  • De verhoogde dijkbewaking blijft van kracht.

Update (2)

11 december 2021

Naast de in de vorige update benoemde maatregelen heeft Motiv de volgende maatregelen genomen: 

Hiernaast wil Motiv u op de hoogte stellen van de aan CVE-2021-44228 gerelateerde kwetsbaarheid bij VMWare [7]. Vanwege de alomtegenwoordingheid van het log4j component in de volledige suite van VMWare is direct actie vereist. 

Motiv verwijst voor de beschikbaarheid van patches, workarounds en mitigaties naar de door VMWare opgestelde advisory. Deze is terug te vinden in de bronvermelding.


Update (1)

10 december 2021

Motiv heeft na intern onderzoek de volgende mitigerende maatregelen genomen: 

  • De dashboards die via de ELK stack benaderbaar voor alle klanten, zijn tijdelijk niet extern bereikbaar totdat de vendor een update beschikbaar heeft gesteld;
  • De F5 WAF appliances die bij Motiv in beheer zijn, worden voorzien van signatures die bescherming bieden tegen de kwetsbaarheid [4];
  • De Checkpoint Firewalls met een IPS Software blade die bij Motiv in beheer zijn, worden voorzien van signatures die bescherming bieden tegen de kwetsbaarheid [5];
  • [Planned] Alle internet facing devices binnen Motiv gaan gescand worden om de kwetsbaarheid te inventariseren, hierbij wacht Motiv op een plug-in die nu in ontwikkeling is bij een van onze partners. 

Hiernaast is bij alle leveranciers, partners en vendoren de vraag uitgezet of er systemen in beheer zijn die mogelijk kwetsbaar zijn voor deze kwetsbaarheid. Vanuit meerdere partijen is de response ontvangen dat er generieke informatie beschikbaar gesteld gaat worden vanuit de leverancier, partner of vendor. 

Verschillende IP’s waarvan bekend is dat ze scannen op deze kwetsbaarheid worden uit voorzorg actief geblokkeerd in de Motiv beheerde firewalls. De lijst wordt actief uitgebreid aan de hand van nieuwe inzichten. 

Motiv heeft voor het gehele weekend een verhoogde dijkbewaking ingesteld.

afbeelding op Apache Log4j kwetsbaarheid – CVE-2021-44228 (update 24-12-2021)

Uitgevoerde activiteiten

  • Er is door het Motiv SOC een specifieke detectie ontwikkeld op de Log4Shell kwetsbaarheid. Hierbij worden aanvallen die niet worden tegengehouden door eventuele preventieve maatregelen alsnog gedetecteerd;  
  • Daarnaast is er door het Motiv SOC een detectie ontwikkeld waarbij wordt gedetecteerd als er een; succesvolle aanval heeft plaatsgevonden. Dit doet het Motiv SOC door te alarmeren op connecties naar bekende callback adressen. Naast de hiervoor al bestaande threat intelligence maakt het Motiv SOC hier ook gebruik van eigen ontwikkelde en onderhouden threat intelligence; 
  • Voor klanten die bij Motiv de Network Detection & Response dienst afnemen in de vorm van Darktrace zijn door Motiv additionele modellen ontwikkeld om Log4j aanvallen te detecteren. In de analyse van het SOC worden deze moddellen meegenomen. Hierdoor kan het SOC sneller reageren en acteren bij meldingen als de desbetreffende asset ook is aangevallen op de Log4j kwetsbaarheid;
  • Als laatste heeft het Motiv SOC verschillende threat hunts uitgevoerd in de aanwezige logging op indicators of compromise. Omdat er indicaties zijn dat er mogelijk al vanaf begin december misbruik werd gemaakt van de log4J kwetsbaarheid is hier speciaal aandacht voor geweest;
  • Als Motiv uit deze analyses heeft bevonden dat er mogelijk een succesvolle aanval heeft plaatsgevonden (of in de toekomst plaats gaat vinden) dan is er door het Motiv SOC via de bestaande communicatiekanalen contact met uw organisatie opgenomen. 

Heeft u nog vragen?

Indien u aanvullende vragen heeft over deze kwetsbaarheid, dan kunt u contact met Motiv Services opnemen. Motiv Services is telefonisch bereikbaar via 030 - 68 77 005 of per e-mail via servicedesk-motiv@atos.net