Het Nederlandse Nationaal Cyber Security Centrum (NCSC) deelt op het software-ontwikkelaarsplatform Github een overzicht met applicaties die kwetsbaar zijn voor een lek in de softwarecomponent Apache Log4j. Dat is een Java-log-tool die veel gebruikt wordt voor webapplicaties en -diensten.
Het centrum waarschuwt dat het onmogelijk is een volledig overzicht te bieden omdat de kwetsbare softwarecomponent in allerlei verschillende zakelijke applicaties is ingebouwd. Wel biedt het overzicht een houvast voor beheerders die hun servers afstruinen op zoek naar de veelgebruikte software-component voor het loggen van data over applicatiegebruik en webdiensten.
In een vierstappenplan adviseert het centrum om via scripts de netwerken te controleren op de aanwezigheid van de gewraakte component. Vervolgens moet gekeken worden of de betreffende leverancier van de software waar de component inzit al een patch heeft uitgebracht. Ook gepatchte systemen moeten nog een keer gecontroleerd worden. Als laatste stap moeten detectiemiddelen opnieuw ingeschakeld zijn.
Eén van de scripts die NCSC adviseert voor het scannen van Linux- en Windows-omgevingen is gebouwd door de Utrechtse securityleverancier Northwave. Northwave-cto Christiaan Ottow, duidt desgevraagd voor Computable de impact van de kwetsbaarheid. Hij benadrukt dat NCSC niet voor niets de kwetsbaarheid en impact op ‘hoog’ heeft ingeschaald. De kans op grote schade is aanwezig omdat criminelen op afstand systemen kunnen overnemen.
‘Verstopt’
Ottow: ‘Dit is geen kwetsbaarheid in één softwarepakket. Maar het zit ‘verstopt’ in een component die door verschillende softwareaanbieders wordt gebruikt. ‘Het is een onder bedrijven populaire component om gegevens te loggen over het gebruik van applicaties. Vrijwel elk bedrijf doet dat.’
Veel organisaties weten niet meteen waar ze die component in hun ict-omgeving precies hebben draaien. Sommige bedrijven hebben al portals uit de lucht moeten halen. Bijvoorbeeld omdat ze nog wachten op een patch van hun softwareleverancier of omdat anderen in de samenwerkingsketen hun systemen nog niet geüpdatet hebben, vertelt Ottow.
Exchange en Citrix
Eerder dit jaar waarschuwde NCSC ook voor ernstige kwetsbaarheden in de mailserver Microsoft Exchange. Maar, volgens Ottow is het nu andere koek omdat de kwetsbare Java-component (Apache Log4j) diep in verschillende delen van de backend van bedrijven zit. ‘Afhankelijk van de omvang van hun Java-omgeving, is er dus werk te doen.’
Qua omvang en impact trekt hij een parallel met de kwetsbaarheid in Citrix in 2020. ‘Dat ging om een kwetsbaarheid in de software van één leverancier. Nu gaat het om een component die in allerlei software van verschillende leveranciers wordt ingezet. Deze kwetsbaarheid zal nog een lange nasleep krijgen’, verwacht hij.
Issue is opgelost in log4j 2.15.0. Tot nu toe weet ik drie oplossingen voor dit issue:
1) JAVA_OPTS=-Dlog4j2.formatMsgNoLookups=true (bij opstarten applicatie)
2) JAVA_TOOL_OPTIONS=-Dlog4j2.formatMsgNoLookups=true (als environment variabele)
3) nieuwe versie van log4j gebruiken log4j2.version 2.15.0 (mvn property voor Spring Boot applicaties)
JAVA_TOOL_OPTIONS is eenvoudig te bereiken door deze te zetten en de boel te herstarten/redeployen