Apache heeft aangegeven dat in versie 2.15.0 log4j kwetsbaar is voor CVE-kenmerk CVE-2021-45046. Deze kwetsbaarheid kan onder andere misbruikt worden voor remote code execution. Het CSIRT-DSP past daarom het handelingsperspectief aan naar:
- Heeft u versie 2.15? Dan adviseert het CSIRT-DSP zo spoedig mogelijk te updaten naar versie 2.16. Dit advies geldt voor Log4j-versie (Java 8);
- Voor Log4j-versie (Java 7) adviseert het CSIRT-DSP om log4j te updaten naar versie 2.12.2.
Omdat alleen versies 2.12.2 en 2.16.0 geüpdatet zijn om elk van de genoemde kwetsbaarheden (CVE-2021-44228 [1], CVE-2021-45046 [2]) te verhelpen, is het advies om naar een van deze twee versies te updaten. Het kan zijn dat u mogelijk afhankelijk bent van updates vanuit uw leverancier.
Daarnaast bleken enkele mitigatiemaatregelen mogelijk niet afdoende. De volgende mitigatie maatregelen kunnen worden genomen indien updaten niet mogelijk is [3]. Houdt er rekening mee dat het toepassen van deze mitigaties mogelijk invloed heeft op de werking van de bovenliggende applicatie:
- CVE-2021-44228 en CVE-2021-45046: Verwijder de JndiLookup-class met het commando "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class".
- CVE-2021-4104 [4] (Alleen versie 1.2 kwetsbaar met specifieke configuratie. Deze versie is reeds End of Life. Apache raadt aan te upgraden naar een Log4j v2 versie): Verwijder de JMSAppender-class met het commando "zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class".
In de GitHub-repository van het NCSC wordt een overzicht bijgehouden van kwetsbare software. In deze repository zijn tevens tools, IoC's en Yara-rules te vinden. Wij raden aan om de repository periodiek te controleren op informatie relevant voor uw organisatie. De repository is beschikbaar via de volgende URL [5].
Daarnaast vragen wij uw aandacht voor het bericht van het NCSC om als organisatie voorbereid te zijn op misbruik. Het CSIRT-DSP ondersteunt het belang van deze berichtgeving en neemt dit advies over voor digitale dienstverleners.
- Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft. Overweeg het tijdelijk instellen van piketdiensten. Houd de NCSC GitHub in de gaten voor de laatste informatie over indicatoren uit forensisch onderzoek.
- Bereid u voor op misbruik. Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
- Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
- Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
- Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
- Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
- Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden? Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
- De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Het NCSC adviseert om de juiste voorbereidingen te treffen. Meer informatie is te vinden in de factsheet Ransomware van het NCSC [6].
- Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.
[1] https://nvd.nist.gov/vuln/detail/CVE-2021-44228
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-45046
[3] https://logging.apache.org/log4j/2.x/security.html
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-4104
[5] https://github.com/NCSC-NL/log4shell
[6] https://www.ncsc.nl/documenten/factsheets/2020/juni/30/factsheet-ransomware