Het beveiligingslek kan hackers de kans geven om controle te krijgen over elke op Java-gebaseerde server met internet en om remote code execution (RCE) uit te voeren. Toch moet ook rekening worden gehouden met interne servers die door de kwetsbaarheid kunnen worden getroffen.
Een gedetailleerde blik op CVE-2021-44228: "Een aanvaller die logberichten of logberichtparameters kan controleren, kan willekeurige code uitvoeren die van LDAP-servers is geladen wanneer vervanging van message lookup is ingeschakeld."
De effecten van deze kwetsbaarheid zullen naar verwachting zeer verstrekkend zijn. Volgens het NCSC kan de volledige omvang nog niet worden gekwantificeerd. Er zijn al berichten dat hackers het internet afspeuren om servers te identificeren die kwetsbaar zijn voor uitbuiting.
Omschrijving
- De kwetsbaarheid zorgt ervoor dat criminele groeperingen op afstand code in software kunnen uitvoeren met rechten van een bovenliggende applicatie.
- De bovenliggende applicatie is in dit geval de applicatie die gebruikmaakt van Log4j, waardoor niet in te schatten is welke rechten deze bovenliggende applicatie heeft. Het NCSC heeft de impact mede daarom ingeschaald op hoog en de eerste meldingen van actief misbruik zijn al gezien.
- De kwetsbaarheid is bevestigd in Log4j 2.0 t/m 2.14.1. Log4j 1.x is niet onderzocht, deze versie is al sinds 2015 end-of-life en wordt dus niet meer ondersteund door Apache.
- De kwetsbaarheid is bij updaten naar versie 2.17 verholpen.
Onderneem actie!
|
Onderneem actie!
- Update Apache >= log4j-2.15, aangezien alle eerdere 2.x-versies kwetsbaar zijn.
- Blokkeer voor Log4j versie 2.10.0 of hoger JNDI-verzoeken aan niet-vertrouwde servers door de configuratiewaarde log4j2.formatMsgNoLookups in te stellen op "TRUE" om LDAP- en andere query's te voorkomen.
- Stel zowel com.sun.jndi.rmi.object.trustURLCodebase als com.sun.jndi.cosnaming.object.trustURLCodebase in op "FALSE" om aanvallen van externe code in Java 8u121 te voorkomen.
- Installeer de ontwikkelaarspatch (indien beschikbaar).
- Implementeer tijdelijke oplossingen van de fabrikant (indien beschikbaar).
- Als er geen oplossing beschikbaar is, sluit dan het systeem af of beperk de toegang.
De lijst met betrokken producten wordt voortdurend bijgewerkt. De volgende bronnen geven een overzicht:
- NCSC-NL: https://github.com/NCSC-NL/log4shell/tree/main/software#a
- VMware: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
- NetApp: https://security.netapp.com/advisory/ntap-20211210-0007/
- Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
- Atlassian: https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html
- Citrix: https://support.citrix.com/article/CTX335705
- Commvault: https://community.commvault.com/technical-q-a-2/log4j-been-used-in-commvault-1985?postid=11745#post11745
- Cybereason: https://www.cybereason.com/blog/cybereason-solutions-are-not-impacted-by-apache-log4j-vulnerability-cve-2021-44228
- Dell: https://www.dell.com/support/kbdoc/de-at/000194372/dsn-2021-007-dell-response-to-apache-log4j-remote-code-execution-vulnerability
- F5: https://support.f5.com/csp/article/K19026212
- Microsoft: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
- Red Hat: https://access.redhat.com/security/cve/cve-2021-44228
- SonicWall: https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032
- Sophos: https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
- Trend Micro: https://success.trendmicro.com/solution/000289940
Het Nationaal Cyber Security Center (NCSC) houdt een pagina bij met een lijst met applicaties die Apache Log4j gebruiken.
Het securityteam van Bechtle AG onderzoekt hoe we klanten maximaal kunnen beschermen. We blijven alert en houden continu updates van de verschillende overheden en leveranciers in de gaten.
Wens je graag meer informatie of heb je hulp nodig? Neem onmiddellijk contact met ons op. Wij kijken graag met je mee!
