Apache log4j

Er is een ernstige kwetsbaarheid gevonden in Apache Log4j.
Dit is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen.
Het NCSC waarschuwt voor potentieel grote schade en adviseert organisaties daarom om zich voor te bereiden op een mogelijke aanval.
Om organisaties te ondersteunen zijn we een platform gestart op GitHub waarop een overzicht te vinden is van kwetsbare applicaties, scanning- en mitigatietools en IoC's.
Indien hier aanleiding voor is zullen we nieuwe beveiligingsadviezen uitsturen.
Het NCSC houdt deze webpagina actueel.

GitHub
Het NCSC heeft op GitHub een lijst gepubliceerd met kwetsbare applicaties.
Nationale en internationale partners, organisaties en bedrijven zijn dringend gevraagd aanvullende informatie te delen.
Dit is tot nu toe massaal gedaan.
Ook de pagina's over IoC's (zie Cybersecurity Woordenboek p.59) en scanning- en mitigatietools bevatten al veel nuttige informatie.
Dit maakt deze lijst internationaal gezien een van de meest complete lijsten.
Omdat het voor het NCSC niet mogelijk is om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten, kan een vermelding van een applicatie op deze lijst gezien worden als update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).
Controleer voor het meest recente beveiligingsadvies de website van het NCSC.

Veelgestelde vragen beantwoord
Tijdens de IT-informatiesessie livestream over de Log4j-kwetsbaarheid op woensdag 15 december 2021 zijn veel vragen gesteld.
Niet alle vragen konden gedurende de 45 minuten durende bijeenkomst beantwoord worden.
De antwoorden op de meestgestelde vragen zijn terug te lezen op de website van het Digital Trust Center.

Verklein de kans op misbruik
Log4j heeft bepaalde functionaliteiten aanstaan die aanvallers de mogelijkheid geven code in logfiles te laten komen.
Als de aanvaller die input op een bepaalde manier vormgeeft, dan kan hij daarmee remote code execution realiseren.
Dit betekent dat iemand ongewild en op afstand een programmacode laat uitvoeren door een computer of programma.

Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie.
Daarom heeft het NCSC onderstaande te-nemen-stappen opgesteld:

Inventariseer of Log4j v2 in uw netwerk wordt gebruikt.
Hiervoor zijn verschillende scripts beschikbaar (Linux en Windows).
Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn.
U vindt deze op GitHub.
Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen.
Aanvallen van binnenuit zijn ook mogelijk.
Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
1. Indien het systeem informatie verwerkt die afkomstig is uit onbetrouwbare bron (bijvoorbeeld van het internet) en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
  Bijvoorbeeld met een Web Application Firewall (WAF) kun je malafide input detecteren en/of blokkeren.
2. Waar updaten niet mogelijk is, adviseren wij te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is.
3. De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om ook zelf pagina’s van softwareleveranciers te monitoren.
Controleer kwetsbare systemen én systemen die al gepatcht zijn op misbruik.
Wij adviseren te kijken naar misbruik vanaf ten minste 1 november.

Bereid u voor op misbruik
De onderstaande maatregelen helpen u op weg bij het identificeren en verder oppakken van een Log4j incident.

Zorg dat incident response draaiboeken klaarliggen.
Weet wie u moet contacteren in het geval van een incident.
Zorg dat u een team paraat heeft.
Overweeg het tijdelijk instellen van piketdiensten.
Houd de NCSC GitHub in de gaten voor de laatste informatie over indicatoren uit forensisch onderzoek.
Bereid u voor op misbruik.
Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan.
Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft.
Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
Schakel waar mogelijk detectiemaatregelen in.
Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld.
Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
Test uw bestaande back-ups.
Maak een offline back-up, ook als u dat normaal niet doet.
Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten.
Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken.
Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers.
Breng de afhankelijkheden tussen uw systemen in kaart.
Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht.
Kunt u incidenten in de nabije toekomst niet duiden? Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren.
Het NCSC adviseert om de juiste voorbereidingen te treffen.
Meer informatie is te vinden in de factsheet Ransomware.
Bepaal of uw leveranciers gebruik maken van Log4j.
Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers.
Veel leveranciers communiceren proactief over de impact van Log4j op hun producten.
Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen.
Op GitHub verzamelt het NCSC een overzicht van de status van producten.

Vergeet ketenafhankelijkheden niet
Naast het patchen van kwetsbare software in eigen beheer is het belangrijk om ketenafhankelijkheid niet te vergeten.
Organisaties zijn zelf verantwoordelijk voor het in beeld brengen van de eigen keten en het acteren hierop.
Houd zicht op de status van de Log4j kwetsbaarheid bij uw ketenpartners.
Kijk bijvoorbeeld hoe leveranciers omgaan met kwetsbare systemen.
Zie voor aanvullende informatie de factsheet 5 adviezen voor veilig inkopen van clouddiensten en de publicaties van NIST over dit onderwerp.

Neemt u ICT-middelen of diensten af bij een leverancier
Het afhandelen van de Log4j-kwetsbaarheid kan extra uitdagend worden indien u gebruik maakt van een leverancier van ICT-middelen of -diensten.

Het NCSC adviseert u om ons handelingsperspectief te volgen en onze lijst van Log4j-software op GitHub regelmatig te controleren.
Deze lijst wordt actief bijgehouden en wijzigingen in die lijst kunnen van belang zijn voor uw organisatie.
Ga er niet vanuit dat leveranciers deze lijst ook continu bijhouden.
Indien u op deze lijst informatie tegenkomt die u bruikbaar acht voor uw situatie, meldt dit dan actief bij uw leverancier.

Neem uiteraard ook contact op indien u los van deze GitHub-lijst twijfels heeft over de veiligheid van de geleverde dienst of software.

Indien het antwoord vanuit een leverancier u onvoldoende vertrouwen geeft, maak dan een risicoafweging.
Wanneer uit deze afweging blijkt dat het om een onacceptabel hoog risico gaat, maak noodplannen om zonder de betreffende dienst of software door te kunnen draaien en/of zet de dienst of server pro-actief stop.

IACS/OT-systemen
Ook bij Industrial Automation and Control Systems (IACS)/Operational Technology (OT)-systemen kunnen de Log4j-kwetsbaarheden impact hebben.
Het NCSC heeft nog geen indicatie dat er reeds IACS/OT-systemen zijn gecompromitteerd, maar deze omgevingen behoeven altijd specifieke aandacht.

Houdt u er rekening mee dat een van de meest gebruikte aanvalsvectoren voor OT-systemen een kwetsbare IT-omgeving is.
De reguliere (basis-)maatregelen zijn ook van toepassing bij IACS/OT-systemen.

Daarnaast dient u te overwegen om, waar mogelijk, Internet facing diensten los te koppelen van het Internet.
Ook dient u blijvend waakzaam te zijn op de aanwezigheid van indicatoren op uw IACS/OT-systemen.

Het NCSC heeft op GitHub een lijst gepubliceerd met kwetsbare applicaties.
Houdt u er rekening mee dat het overzicht mogelijk niet volledig is en dat deze continu wordt aangevuld.
Uw IACS/OT-systemen kunnen hier mogelijk op ontbreken.
Wij raden u aan om contact te leggen met uw leverancier voor uitsluitsel en potentiële oplossingen in relatie tot de Log4j-kwetsbaarheid.

Digitale weerbaarheid op langere termijn
De adviezen in deze blogpost zijn gericht op de zeer korte termijn.
Wilt u ook op langere termijn investeren in uw digitale weerbaarheid, dan zijn er publicaties die u handvatten kunnen bieden:

Beveiligingsadvies Log4j (NCSC-2021-1052)
Handreiking Cybersecuritymaatregelen (NCSC)
Basismaatregelen Cybersecurity (NCSC)
Cyberaanvallen door statelijke actoren – 7 momenten om een aanval te stoppen (AIVD)
De 5 basisprincipes van veilig digitaal ondernemen (Digital Trust Center)

De adviezen van het NCSC zijn algemeen van aard.
Dat geldt ook voor de hieronder/boven weergegeven tekst en het daarin opgenomen handelingsperspectief.
Het NCSC heeft nu eenmaal geen onvoorwaardelijk overzicht over de exacte configuratie van uw systeem of de door u gebruikte applicaties of systemen of applicaties in het algemeen.
Hierom kan alleen u, uw beheerder of een derde met kennis over uw systemen inschatten hoe ons advies – zonder onvoorziene gevolgen – is in te zetten of anderszins te gebruiken.