Ernstige kwetsbaarheid in Apache Log4j 2

Wij begrijpen dat er wat onduidelijkheden zijn over de werking van één van de mitigatie-methodes.

Bij de betreffende methode wordt de kwetsbare functionaliteit softwarematig uitgeschakeld, echter, deze kan in sommige gevallen alsnog worden misbruikt.

De mitigatie die wij hebben toegepast werkt anders: deze verwijdert bepaalde code zodat dit niet meer functioneel is en dus onder geen enkele omstandigheid nog kan worden misbruikt.

Op dit moment is er daarom geen reden om aan te nemen dat eerdere mitigaties die wij hebben toegepast onvoldoende zouden zijn.

De updates die vandaag zijn uitgebracht door Elastic Search zijn inmiddels geïnstalleerd en lossen de problemen definitief op.

Inmiddels zijn er voor een aantal pakketten updates uitgebracht met daarin een definitieve oplossing voor dit probleem.

De onderstaande pakketten worden vandaag, tijdens ons reguliere update window, op de betreffende servers geïnstalleerd. Hiermee wordt de tijdelijke patch vervangen door een definitieve oplossing.

• Elastic Search 7.16.1 -> https://www.elastic.co/guide/en/elasticsearch/reference/current/release-notes-7.16.1.html

• Elastic Logstash 7.16.1 -> https://www.elastic.co/guide/en/logstash/current/logstash-7-16-1.html

Op basis van deze handige lijst van het NCSC hebben we alle gebruikte software nagelopen en waar nodig de voorgestelde oplossing doorgevoerd.
https://github.com/NCSC-NL/log4shell/tree/main/software

Wij zullen de komende dagen alle nieuwe commits bijhouden en waar nodig updates of patches uitvoeren.

Voor vragen of aanvulling omtrent deze kwetsbaarheid graag een mailtje naar support@cobytes.com

Inmiddels komt er steeds meer informatie en tooling beschikbaar om de kwetsbaarheid te detecteren.

Diverse software leveranciers brengen upgrades en workarounds uit om deze kwetsbaarheid permanent op te lossen.

We houden de komende tijd de ontwikkelingen rondom deze kwetsbaarheid nauwlettend in de gaten.

Bij twijfel of vragen kunt u altijd contact opnemen met ons via support@cobytes.com.

Na verder onderzoek bleek dat van de eerder genoemde pakketten alleen onderstaande mogelijk kwetsbaar zijn:

• Elastic Elasticsearch
• Elastic Logstash
• SOLR

Inmiddels zijn omgevingen waar bovengenoemde pakketten worden gebruikt voorzien van een patch waarmee de kwetsbaarheid is gemitigeerd.

We verwachten dat er komende dagen nog diverse officiele updates worden vrijgegeven waarin de kwetsbaarheid definitief (bij de bron) wordt opgelost. Zodra deze beschikbaar zijn worden die door ons geinstalleerd.

Er is een ernstige kwetsbaarheid aangetroffen in de veelgebruikte Log4j 2-tool, die gebruikt wordt voor het loggen binnen Java-applicaties. Deze kwetsbaarheid is bekend als CVE-2021-44228.

De onderstaande pakketten maken gebruik van Log4j 2 en zijn mogelijk kwetsbaar:

• Elastic Elasticsearch (alleen nieuwere versies)
• Elastic Logstash
• Elastic Kibana (mits afgeweken is van standaard instellingen)
• SOLR
• Atlassian Jira Server
• Atlassian Confluence Server
• Atlassian Bitbucket Server
• Atlassian Bamboo Server

Wij onderzoeken momenteel of omgevingen van onze klanten waarin bovenstaande pakketten gebruikt worden kwetsbaar zijn en rollen daarvoor patches uit indien mogelijk.

Meer informatie:

• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://tweakers.net/nieuws/190602/ernstige-kwetsbaarheid-in-apache-log4j-2-kan-duizenden-organisaties-treffen.html