Kwetsbaarheid in Apache Log4j
Sinds afgelopen zaterdag is er door het NCSC (Nationaal Cyber Security Centrum) gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j. Log4j is een veelgebruikte library die gebruikt wordt om logging functionaliteit te bouwen in software, geschreven in de programmeertaal Java. Omdat deze software in zeer veel producten gebruikt wordt kan de impact groot zijn. De software zit in vele honderden, zo niet duizenden softwareproducten en applicaties.
Aiden is dit weekend druk bezig geweest uit te zoeken en volgen wat de ontwikkelingen en getroffen systemen kunnen zijn volgens de CVE-2021-44228 kwetsbaarheid. Vervolgens is het stappenplan van het NCSC gevolgd. Concreet betekent dit het volgende:
SAP
SAP is haar applicaties aan het controleren en geeft (via notes) info over een mogelijke kwetsbaarheid van haar applicaties en versies, dit volgen we continue. Tot op heden is er aangegeven dat de volgende applicaties in bepaalde versies kwetsbaar zijn: Business Objects, Content Server, Application Server Java Core Components, XS Advanced Platform.
SAP Business One en SAP ByDesign zijn nog in afwachting van het onderzoek van SAP over mogelijke kwetsbaarheden.
-
Aiden
Aiden IP (software producten met onderhoud):
-
* Aiden Java IP software, geen kwetsbaarheden bij SAP Business One versie 9.3 en hoger in combinatie met een Java versie hoger dan 1.8u192.
-
* Bij onze Retail klanten die gebruik maken van Retail XML hebben wij proactief alle POS en Shop servers gecontroleerd en hier hebben wij geen kwetsbaarheden vastgesteld.
-
* Bij onze klanten die gebruik maken van de ProSuite (WarehousePro, RetailPro, Proof of Delivery) is geen risico, deze applicaties zijn gebouwd op het .net framework en hebben geen Java componenten in zich.
-
Managed / Private Cloud by Aiden:
-
* Managed Private Cloud SAP Business One: Sap Business One en applicaties servers zijn gecontroleerd en hier hebben wij vooralsnog geen kwetsbaarheden vastgesteld. Mocht er vanuit SAP verdere informatie komen over mogelijke risico’s dan zullen wij daar direct op acteren.
-
* Private Cloud SAP Business One: gebruikers van de software OKTA in combinatie met FortiClient zijn vanwege een risico met OKTA geüpgraded van OKTA versie. Verder zijn er vooralsnog geen kwetsbaarheden vastgesteld. Mocht er vanuit SAP verdere informatie komen over mogelijke risico’s dan zullen wij daar direct op acteren.
-
* Shared Cloud SAP Business One: servers zijn gecontroleerd, hier zijn vooralsnog geen kwetsbaarheden vastgesteld. Mocht er vanuit SAP verdere informatie komen over mogelijke risico’s dan zullen wij daar direct op acteren.
-
* SAP S/4HANA: voor “hosting & technisch applicatiebeheer met SLA” klanten controleren we proactief of deze SAP applicaties en versies gebruikt worden en stemmen we een eventuele kwetsbaarheid af met de klant, inclusief de te nemen stappen om de kwetsbaarheid onschadelijk te maken. In sommige gevallen betreft dit het aanpassen van een aantal configuratie settings en bij sommige oudere versies is een upgrade van het product nodig. De meeste SAP servers staan achter de firewall en zijn niet publiekelijk via het internet te benaderen waardoor de kans op misbruik van een mogelijke kwetsbaarheid verkleind wordt.
-
* Webshops: Op onze webservers hebben wij geen kwetsbaarheden geconstateerd. De webshops die gebruik maken van Elasticsearch liepen geen risico aangezien deze allemaal reeds op een geüpdatete beschermde Java versie zaten.
-
XIG / AIP platform by Aiden:
Vanuit integratie zijn alle componenten in kaart gebracht met betrekking tot de kwetsbaarheid CVE-2021-44228. Dit betekent dat de kwetsbaarheden zijn gemitigeerd, servers opnieuw zijn gestart en dat wij testen hebben uitgevoerd om er zeker van te zijn dat kwetsbaarheden zijn opgelost en de platformen nog steeds stabiel draaien. Daarnaast werken deze servers met IP white listing, waardoor toegang van buitenaf praktisch niet mogelijk is.
Geen Managed / Private Cloud klant:
Wij adviseren al onze klanten die geen gebruik maken van de Aiden Managed / Private Cloud dienstverlening om hun systemen te controleren. Wij verwijzen naar de informatiepagina van het NCSC met een overzicht van de producten die mogelijk geraakt zijn. Hier kan je zien of je gebruik maakt van een product wat aan Log4j gelinkt is. Let op: deze lijst is niet volledig. Er worden nog steeds producten gevonden waar Log4j een onderdeel van is. Daarnaast hebben nog niet alle softwareleveranciers vastgesteld of ze geraakt worden en/of er gevolgen zijn voor hun product.
Wat kun je nog meer doen?
Er wordt wereldwijd gescand naar kwetsbare systemen. Ook is vastgesteld dat er inmiddels massaal misbruik wordt gemaakt van deze kwetsbaarheid. Daarom is het verstandig om op korte termijn contact op te nemen met jouw softwarelverancier(s) en of IT-dienstverlener(s).
Bekijk de informatiepagina van het NCSC