In het weekend van 11 en 12 december werd duidelijk dat er een groot aantal applicaties getroffen zijn door een kritische kwetsbaarheid in java log-tool Log4j, aangeduid als CVE-2021-44228. Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met kwetsbare applicaties. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. In dit artikel delen we tips van het NCSC en voorzien we u van de laatste informatie over de statements en instructies van onze vendoren.

Algemene tips van het NCSC

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar: Northwave SecurityPowershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    –  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
    –  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
    Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
    Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar
    –  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
    –  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om zelf ook pagina’s van softwareleveranciers te monitoren.
  3. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. NCSC adviseert te kijken naar misbruik vanaf tenminste 1 december.
  4. NCSC adviseert u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Opnieuw een kwetsbaarheid in Log4j aangetroffen

Op 14 december publiceerde de onderzoekers van LunaSec een blogpost waarin zij liever weten dat er opnieuw een kwetsbaarheid is gevonden in de java log-tool Log4j. De onderzoekers laten weten dat er na het updaten van systemen naar versie 2.15.0 gebruikers nog steeds kwetsbaar zijn. Updaten naar 2.16.0 wordt dan ook dringend geadviseerd.

In tests van de onderzoekers van Lunasec, blijkt bovendien dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers adviseren om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.

Commscope Ruckus

Commscope Ruckus zal software-updates uitbrengen als oplossing voor deze kwetsbaarheid. Omdat het een kritiek probleem is, worden klanten dringend geadviseerd de fix toe te passen zodra deze beschikbaar is. In onderstaande tabel kunt u vinden welke producten en/of softwareversies kwetsbaar zijn en wat de aanbeloven acties zijn.

Product Vulnerable Release Oplossing Release date
FlexMaster Onder beoordeling Onder beoordeling Onder beoordeling
Ruckus Analytics Alle versies. Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar. 20-12-2021
Ruckus Cloud 21.11 Onder beoordeling Onder beoordeling
SCI Onder beoordeling SCI (Cloud): geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.
SCI (standalone/on-prem): TBD
SCI (Cloud): 16-12-2021
SCI (standalone/on-prem): onder beoordeling
SmartZone + Virtual SmartZone 5.0 t/m 6.0 KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site. SZ 6.0: 17-12-2021 ( Let op! In het artikel van Ruckus staat geschreven dat de file geupload kan worden via administration->Diagnostics, maar in SZ 6.0 zit dit op een andere plek. Het makkelijkste is daarom om te zoeken op “diagnostics” in de zoekbalk)
SZ 5.2.2: 17-12-2021
SZ 5.1 en 5.0: 17-12-2021
SmartZone + Virtual SmartZone FIPs 5.2.1.3

Overige SZ FIPS Releases

KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site.
Installeer de KSP wanneer beschikbaar op de Ruckus Support Site.
SZ FIPS 5.2.1.3: 17-12-2021
Overige releases zijn nog onder beoordeling
Unleashed Multi-Site Manager (UMM) Onder beoordeling Onder beoordeling Onder beoordeling

Producten die niet kwetsbaar zijn:

  • Alle Access Points (Inclusief de Unleashed AP’s)
  • Cloudpath
  • ICX Switches
  • IoT
  • Ruckus Network Director (RND, versie 3.0 en eerder)
  • SmartZone Dataplane
  • SPoT/vSPoT
  • Unleashed
  • ZoneDirector

WatchGuard

Late last week security researchers disclosed a critical, unauthenticated remote code execution (RCE) vulnerability in log4j2, a popular and widely used logging library for Java applications. CVE-2021-44228 scores the maximum 10.0 on the Common Vulnerability Scoring System (CVSS) due to a combination of how trivial the exploit is and the potential for significant damage. Since Friday, the WatchGuard Security operations team has been sharing details about the vulnerability along with any potential impact on WatchGuard products at the Secplicity blog. We’ve also updated a Knowledge Base article with details.

 

IPS Signature Update
WatchGuard has released new IPS signatures to detect exploits of the vulnerability. Please make sure that all your WatchGuard appliances are configured to receive the latest IPS signature sets:

  • Fireware v12.6.2 and higher:  IPS v18.188
  • Fireware v12.6.1 and lower: IPS v4.1232

Are WatchGuard products impacted?  
The WatchGuard engineering team is doing a comprehensive review of all our products:

  • Firebox, WatchGuard System Manager, and Dimension – Not affected
  • WatchGuard EPDR and Panda AD360 – Not affected

Some product components in WatchGuard Cloud were running a vulnerable version of log4j2, but use a version of JVM that is not vulnerable to the common and trivial LDAP attack vector. We have updated these components out of an abundance of caution.

  • AuthPoint – Updated
  • Threat Detection and Response – Updated
  • Wi-Fi Cloud – Updated

We are continuing to investigate internally for any additional potential impact. Please continue to check Secplicity and the KB article for latest updates.