Log4j update (CVE-2021-44228)

De afgelopen dagen zijn veel organisaties bezig geweest met het patchen van hun systemen om zich te beschermen tegen de kwetsbaarheden in Log4j die vorige week werden ontdekt. Ook bij skrepr is er hard gewerkt om onze systemen te patchen en stappen te ondernemen voor bescherming in de toekomst.

Wanneer een nieuwe kwetsbaarheid met hoge impact is gevonden in een veel gebruikte service, is er veel paniek en chaos binnen de IT gemeenschap. Op dat moment zijn er altijd veel vragen waar nog geen antwoord op is. Zijn wij kwetsbaar? Om hoeveel systemen gaat het? Wat zijn de gevolgen voor onze servers en klanten? Wat kunnen we doen om deze kwetsbaarheid te verhelpen? In zo’n situatie is het belangrijk om al deze vragen uiteen te zetten en te inventariseren welke tools je als IT bedrijf tot je beschikking hebt om deze vragen te beantwoorden.

Onderzoeken

Binnen skrepr is er eerst gekeken naar welke servers en services Java gebruiken. Log4j is een loggingtool die gebruikt wordt binnen Java applicaties. Dus een systeem kan alleen kwetsbaar zijn als Java aanwezig is op de server. Dankzij automatisering die wij gebruiken voor het controleren en uitvoeren van updates, is het ook mogelijk snel een overzicht te vormen van wat er allemaal op onze server staat. Veel hiervan is zelfs al bekend en gedocumenteerd binnen skrepr.

Alle systemen zijn hiermee intern in kaart gebracht en aan een matrix toegevoegd. Hierin wordt omschreven of Java aanwezig is op de server, welke versies van log4j aanwezig zijn en of het systeem al is gescand door IP adressen die de exploit proberen te misbruiken. Dit overzicht gaf ons de mogelijkheid om gerichter te kunnen patchen, zodat er geen tijd verloren ging. Tijdens de onderzoeksfase zijn ook al onze klanten geïnformeerd die de kwetsbare versies hadden draaien op hun servers.

Oplossen

Op basis van informatie uit het overzicht is er gekeken naar welke maatregelen nodig waren. Vrijwel alle applicaties die log4j gebruiken binnen skrepr, zijn van derde partijen die de beschikbare patch via een update moeten leveren aan ons. Wachten was in deze kritieke situatie echter niet mogelijk en daarom moest er gezocht worden naar een tussentijdse oplossing die kon worden gebruikt voordat de patches beschikbaar waren. De oplossing die hiervoor werd geadviseerd was een optie die kon worden meegegeven aan de applicatie om de kwetsbare functionaliteit in Log4j uit te schakelen. Deze oplossing is op elke server met een Java applicatie binnen onze infrastructuur toegevoegd afgelopen week. Hoewel deze oplossing niet perfect was, was het voldoende om te wachten op de patch van onze leveranciers.

Reflecteren

Binnen skrepr is gereflecteerd over hoe we ons nog beter kunnen voorbereiden en beschermen op kwetsbaarheden voor in de toekomst. De realiteit is dat Log4Shell niet de eerste en ook zeker niet de laatste keer zal zijn dat een kwetsbaarheid grote gevolgen kan hebben voor onze systemen. Zoals we al hebben aangeven in dit artikel, is er veel automatisering aanwezig, zodat wij een groot aantal servers met een klein team kunnen beheren. Wij voeren updates uit op onze servers en onderhouden deze ook om de “footprint” voor een aanval zo klein mogelijk te maken.

Waar wij verbetering zagen in onze aanpak, was om zo snel mogelijk op de hoogte te zijn van de kwetsbaarheid. Bij een kwetsbaarheid van deze grootte gaat het al snel rond via verschillende nieuwsbronnen en ook deze keer heeft ons oplettende team van developers en systeembeheerders elkaar snel en goed geïnformeerd over deze kwetsbaarheid.

Dat wij voor deze kwetsbaarheid deels afhankelijk waren van derde partijen voor het uitrollen van een patch, zien wij als een groot risico voor in de toekomst. Hoewel er een mitigatie aanwezig is als tijdelijke oplossing, en veel derde partijen ook snel en adequaat hebben gereageerd, hebben wij toch extra maatregelen genomen om deze risico’s nog verder in te dammen.

In het kort hebben wij onze systemen voorzien van een nieuw intrusion prevention system (IPS). De servers binnen skrepr kunnen al verkeer blokkeren op basis van IP adressen die herhaaldelijk proberen om onze systemen binnen te dringen. Maar onze nieuwe IPS kan naast het het blokkeren van spammende IP adressen, ook slimmer herkennen of er een exploit wordt misbruikt zonder dat hiervoor herhaaldelijke inbreekpogingen voor nodig zijn. Dit geeft ons meer tijd om onze servers te patchen en biedt een sterke en flexibele eerste laag van beveiliging tegen aanvallen.

Verder hebben we als team ons aangemeld bij meerdere bronnen die ons berichten als er een CVE bekend is voor software die mogelijk in onze infrastructuur draait. Want hoewel ons team altijd zeer oplettend en waakzaam is voor nieuwe kwetsbaarheden, willen wij garanderen dat wij zo snel mogelijk op de hoogte zijn van de meest recente CVE’s.

Log4Shell zal de komende tijd nog nauwlettend worden gevolgd binnen de IT gemeenschap. Veel is nog onbekend, maar de grootste risico’s zijn in ieder geval binnen skrepr aangepakt. Ook in de toekomst zullen wij ervoor blijven zorgen dat onze systemen, en daarmee ook onze klanten, beschermd zijn.