Kwetsbaarheden in Log4j applicaties (update 22-12 15:00u)

update 22-12-2021: 15:00 uur 

Er is een ernstige kwetsbaarheid aangetroffen in een veelgebruikt stukje software voor logging – de JAVA-tool log4j, een bouwsteen voor software. Per jaar verstuurt de IBD ca 2500 waarschuwingen waarvan ongeveer 20 tot 30 met deze ernst. Deze kwetsbaarheid zit in tienduizenden softwarepakketten en hardwarecomponenten. Dit maakt deze kwetsbaarheid urgent voor alle organisaties.

Deze informatiepagina biedt overzicht van actuele ontwikkelingen en zal doorlopend worden bijgewerkt.

Wat is het probleem: 

  • Wijd verspreid: log4j is onderdeel van zo veel verschillende applicaties en apparaten dat de IBD inschat dat iedere gemeente hier mee te maken heeft. De IBD benadrukt hierbij dit een wereldwijd probleem betreft, dat speelt in elke sector en in elke organisatie met een ICT-omgeving van enig formaat.
  • Moeilijk te detecteren: het is voor een organisatie lastig om erachter te komen waar log4j een rol in speelt.
  • Soms gebruikt in kritieke systemen: log4j is onderdeel van systemen voor thuiswerken, applicaties voor primaire processen.
  • Moeilijk (zelf) te verhelpen: omdat het gaat om een bouwsteen binnen software en systemen is een organisatie niet altijd zelf in staat om die te verhelpen.

Wat doet de IBD?

  • De IBD onderhoudt het contact met beveiligingsfunctionarissen van alle Nederlandse gemeenten.
  • De IBD informeert de contactpersonen sinds afgelopen vrijdag doorlopend na het bekend worden van deze kwetsbaarheid doorlopend over actuele ontwikkelingen – waar nodig meerdere keren per dag. Om de urgentie te benadrukken is ook een waarschuwings-SMS verstuurd.
  • De IBD onderhoudt het contact met de belangrijkste gemeentelijke leveranciers over hun aanpak en deelt die met de beveiligingsfunctionarissen van gemeenten. Uiteraard houden leveranciers ook zelf contact met hun eigen contactpersonen klanten. Zo zijn beveiligingsfunctionarissen op de hoogte en kunnen zij vinger aan de pols houden.
  • De IBD onderhoudt het contact met het Nationaal Cyber Security Centrum (NCSC) en de sectorale collega-CERTS van bv de sectoren onderwijs, bedrijfsleven, zorg, waterschappen en provincies. Binnen deze samenwerking wordt het advies afgestemd. Het IBD advies is gelijk aan het advies dat geldt voor alle andere sectoren.

Advies IBD:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. U vindt deze op https://github.com/NCSC-NL/log4shell/blob/main/scanning/README.md. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk. Zie voor een uitleg dit schema: https://twitter.com/jfslowik/status/1472316791904870401/photo/1 
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit. Indien het systeem informatie verwerkt die afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk. Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    • Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true.
    • Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar.
    • Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie. (deze mitigatie beschermt niet tegen de meest recente kwetsbaarheden).
    • Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
    • De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
  4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik vanaf ten minste 1 december.
  5. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. (U kunt ons “Handelingsperspectief bij misbruik” gebruiken om met de leveranciers af te stemmen waar men op kan monitoren en signaleren)
  6. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. De IBD adviseert om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en uw back-ups op orde te hebben.

Overzicht kwetsbaarheden:

Afwegingskader (klik om leesbaar te maken):

Meer informatie:

  • Het NCSC heeft een github pagina gepubliceerd die doorlopend wordt aangevuld met aanvullende informatie betreffende de log4j kwetsbaarheid, zie hiervoor: https://github.com/NCSC-NL/log4shell
  • Deze lijst wordt doorlopend aangevuld en bevat overzichten van kwetsbare producten, de bijbehorende oplossingen, scantools en indicators of compromise (IOC).
  • De informatie die de IBD (zelf of via gemeenten) ophaalt wordt waar mogelijk ook verwerkt in het centrale overzicht van het NCSC.
  • De Vertrouwde Contactpersonen van de IBD ontvangen dagelijks om 15:00u een bijgewerkt overzicht van specifiek gemeentelijke applicaties.