Log4j - bereid u voor op misbruik

Er is een ernstige kwetsbaarheid gevonden in Apache Log4j. Dit is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. Het NCSC waarschuwt voor potentieel grote schade en adviseert organisaties daarom om zich voor te bereiden op een mogelijke aanval. Om organisaties hierbij te helpen hebben we een stappenplan ontwikkeld en zijn we een platform gestart op GitHub, waarop een overzicht te vinden is van kwetsbare applicaties, scanning- en mitigatietools en IoC's.   

GitHub

Het NCSC heeft op GitHub een lijst gepubliceerd met kwetsbare applicaties. Nationale en internationale partners, organisaties en bedrijven zijn dringend gevraagd aanvullende informatie te delen. Dit is tot nu toe massaal gedaan. Ook de pagina's over IoC's (zie Cybersecurity Woordenboek p.44) en scanning- en mitigatietools bevatten al veel nuttige informatie. Dit maakt deze lijst internationaal gezien een van de meest complete lijsten. Omdat het voor het NCSC niet mogelijk is om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten, kan een vermelding van een applicatie op deze lijst gezien worden als update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade). Controleer voor de meest recente beveiligingsadviezen de website van het NCSC.

Verklein de kans op misbruik

Log4j heeft bepaalde functionaliteiten aanstaan die aanvallers de mogelijkheid geven code in logfiles te laten komen. Als de aanvaller die input op een bepaalde manier vormgeeft, dan kan hij daarmee remote code execution realiseren. Dit betekent dat iemand ongewild en op afstand een programmacode laat uitvoeren door een computer of programma.

Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie. Daarom heeft het NCSC onderstaande te-nemen-stappen opgesteld:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts beschikbaar (Linux en Windows). Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. U vindt deze op GitHub. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    1. Indien het systeem informatie verwerkt die afkomstig is uit onbetrouwbare bron (bijvoorbeeld van het internet) en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
    2. Waar updaten niet mogelijk is, adviseren wij te overwegen of het mogelijk is het systeem uit te schakelen totdat een patch beschikbaar is.
    3. De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om ook zelf pagina’s van softwareleveranciers te monitoren.
  4. Controleer kwetsbare systemen én systemen die al gepatcht zijn op misbruik. Wij adviseren te kijken naar misbruik vanaf ten minste 1 december.

Bereid u voor op misbruik

De onderstaande maatregelen helpen u op weg bij het identificeren en verder oppakken van een Log4j incident.

  1. Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft. Overweeg het tijdelijk instellen van piketdiensten. Houd de NCSC GitHub in de gaten voor de laatste informatie over indicatoren uit forensisch onderzoek.
  2. Bereid u voor op misbruik. Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
  3. Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
  4. Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
  5. Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
  6. Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
  7. Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden?  Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
  8. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Het NCSC adviseert om de juiste voorbereidingen te treffen. Meer informatie is te vinden in de factsheet Ransomware.
  9. Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.

Digitale weerbaarheid op langere termijn

De adviezen in deze blogpost zijn gericht op de zeer korte termijn. Wilt u ook op langere termijn investeren in uw digitale weerbaarheid, dan zijn er publicaties die u handvatten kunnen bieden: