Log4j-kwetsbaarheid ontdekt in Java

Er is een ernstige kwetsbaarheid aangetroffen in de Log4j-loggingtool die door zeer veel Java-applicaties en -diensten gebruikt wordt, zoals Steam, Apple iCloud en Minecraft. De kwetsbaarheid, genaamd LogJam of Log4Shell, maakt het mogelijk voor een ongeauthenticeerde kwaadwillende om op afstand willekeurige code uit te voeren met de rechten van de kwetsbare Java-applicatie.

Het Nationaal Cyber Security Centrum geeft aan dat kwaadwillenden al actief scannen op de kwetsbaarheid. In dit artikel gaan wij dan ook specifiek in op twee belangrijke vragen met betrekking tot LogJam: Zijn de systemen van TransIP kwetsbaar en zijn jouw diensten kwetsbaar?

De maatregelen voor de systemen van TransIP

Wij maken op een aantal van onze systemen gebruik van Log4j. We hebben daarom vrijdag onze systemen geanalyseerd en stappen ondernomen om ze te beschermen tegen deze kwetsbaarheid:

• We hebben gecontroleerd welke van onze systemen log4j gebruiken.

• Waar Log4j noodzakelijk is, hebben we de configuratie van de betreffende systemen beveiligd zodat deze niet misbruikt kunnen worden.

• Indien Log4j niet noodzakelijk maar wel op een systeem aanwezig was, hebben we die verwijderd.

• We monitoren of er nieuwe beveiligingsupdates voor Log4j uitkomen en passen die direct toe.

• We controleren continu onze systemen via onze vulnerability management tooling en ondernemen actie waar nodig.

• We controleren onze systemen op tekenen van misbruik.

Daarnaast onderzoeken we aanvullende maatregelen om ervoor te zorgen dat onze infrastructuur veilig is en blijft.

Zijn mijn diensten kwetsbaar?

Wanneer je gebruikmaakt van onze webhosting-, domein- en/of STACK-diensten, zijn deze al beschermd tegen de Log4j-kwetsbaarheid. Wij beheren de onderliggende servers en de maatregelen die we in de vorige paragraaf noemden zijn daar dan ook op van toepassing.

Gebruik je een VPS? Dan is het ingewikkelder: Java-applicaties bundelen vaak software op een manier (in jar-files) waardoor je niet eenvoudig kunt vaststellen of je Log4j gebruikt. Het is dus goed mogelijk dat Log4j op je server aanwezig is.

Deze pagina helpt je hier gelukkig bij en toont een overzicht van software met daarbij aangegeven of die kwetsbaar is of niet en, zo ja, of er een patch beschikbaar is om de software te beveiligen. Zie je hier software tussen staan die je gebruikt en is er al een patch beschikbaar? Installeer die direct. Staat er dat de betreffende software nog kwetsbaar is, controleer deze pagina dan dagelijks om te zien of er een patch beschikbaar is en zo ja, pas die direct toe. Deze lijst wordt vrijwel zeker nog uitgebreid, dus controleer die regelmatig.

Voor gebruikers van DirectAdmin en Plesk hebben we in ieder geval goed nieuws: DirectAdmin en Plesk gebruiken geen Log4j. Heb jij verder geen aanvullende software geïnstalleerd op je VPS? Dan hoef je geen actie te ondernemen.

Cpanel-installaties gebruiken wel Log4j, maar deze kunnen geüpdatet worden vanuit WHM. Ga hiervoor naar ‘Home’->’cPanel’->’Update to the latest version’ om je installatie te updaten en je VPS te beveiligen.

In alle andere gevallen raden we aan je VPS te scannen om vast te stellen of je gebruik maakt van Log4j. Hiervoor is een handige tool beschikbaar op Github die je als volgt kunt gebruiken:

Linux

Controleer eerst op deze pagina of er een nieuwere versie beschikbaar is. Zo ja, pas dan de downloadlink en -naam aan in de commando's hieronder. Voer daarna de volgende commando's uit met sudo of als root-gebruiker.

wget https://github.com/dtact/divd-2021-00038--log4j-scanner/releases/download/1.0-alpha/divd-2021-00038--log4j-scanner_v1.0-alpha_linux-amd64.tar.gz

tar -xvzf divd-2021-00038--log4j-scanner_v1.0-alpha_linux-amd64.tar.gz

chmod +x divd-2021-00038--log4j-scanner

./divd-2021-00038--log4j-scanner /*

Tijdens het scannen krijg je meldingen te zien dat je geen toestemming hebt om bestanden te scannen in de /sys/-folder. Deze kun je veilig negeren. Het gaat in de output alleen om het allerlaatste stukje: "0 vulnerable files found, 0 vulnerable libraries found"

Windows

• Download de meest recente scanner voor Windows waarvan de naam eindigt op 'amd64.zip' vanaf Github.

• Pak het bestand uit in een directory naar keuze, bijvoorbeeld c:\Temp.

• Start Windows powershell en navigeer naar de map waar je het bestand hebt uitgepakt, bijvoorbeeld cd c:\Temp

• Scan vervolgens je schijf met het commando: .\divd-2021-00038--log4j-scanner.exe c:\

Mocht uit de scan naar voren komen dat je VPS gebruikmaakt van Log4j, dan raden we je aan een snapshot van je VPS te maken en een back-up te maken van belangrijke data. Update daarna je VPS, herstart deze en verander je wachtwoorden.

Tot slot raden we aan om regelmatig, bijvoorbeeld wekelijks, je VPS te updaten. Soms is een kwetsbaarheid namelijk bekend, zoals bij de Log4j-kwetsbaarheid, maar hebben niet alle softwareontwikkelaars direct een patch beschikbaar. Bovendien is het soms lastig om vast te stellen welke software er op je server geïnstalleerd staat, zeker als die zoals nu een onderdeel vormt van een andere applicatie (zoals veel voorkomt bij Java-applicaties).