Log4j kwetsbaarheid (laatste update 20-12)
De wereld is opgeschrikt door een ernstig lek in een open-source product van de Apache Foundation. Het component in kwestie heet Log4j. Het lek maakt veel systemen wereldwijd kwetsbaar voor misbruik door cybercriminelen. Het probleem met Log4j is dat het in veel software is geïntegreerd. Dat maakt het analyseren en oplossen complex.
Hierbij geven we een overzicht van onze producten en leveranciers, in hoeverre ze zijn geraakt door het lek en welke oplossing ze voorstellen. In veel gevallen is een oplossing of workaround beschikbaar.
Uiteraard kunnen wij je ondersteunen bij het oplossen van de kwetsbaarheid en het implementeren van deze oplossing. Wil je onze support, dan kun je de gebruikelijke support kanalen gebruiken, maar we willen je adviseren om ons te bellen. Desgewenst kunnen we per product de door de fabrikant voorgestelde oplossing met je doornemen.
Algemeen
Het lek is gepubliceerd op 9 december 2021 en heet formeel “CVE-2021-44228 vulnerability”. De kwetsbaarheid zit in versies lager dan 2.15.0 van Apache Log4j (2.14.1 en lager). De kwetsbaarheid wordt ook wel aangeduid als Log4Shell of LogJam.
Een waarschuwing bij het oplossen van het probleem: volg de aanwijzingen van de fabrikant of de Apache Foundation. Het downloaden en implementeren van oplossing die elders worden gevonden hoeft de problemen niet op te lossen en kan zelfs leiden tot grotere schade.
Referenties:
Log4j – Apache Log4j Security Vulnerabilities
CVE - CVE-2021-44228 (mitre.org)
log4shell/software at main · NCSC-NL/log4shell · GitHub
Updates
2021-12-15: een tweede kwetsbaarheid is aangetroffen in dezelfde componenten. Deze is bekend onder kenmerk CVE-2021-45046. Het betreft een gevolg van een onvolledige fix van de initiele kwetsbaarheid.
2021-12-16: KnowBe4 geeft aan dat zij GEEN gebruik maken van de Log4j componenten.
2021-12-16: ManageEngine geeft aan dat de betreffende Log4j componenten ook in gebruik zijn bij hun Analytics Plus en M365 Security Plus software.
2021-12-17: Updates van ManageEngine. Links bijgewerkt naar meest recente info.
2021-12-20: Apache heeft een derde patch (Log4j 2.17.0) moeten uitbrengen om de kwetsbaarheid te repararen. Deze patch heeft een lagere prioriteit dan de eerste.
Kaspersky
GEEN van de producten van Kaspersky bevat deze kwetsbaarheid.
Referentie: CVE-2021-44228 vulnerability in Apache Log4j library | Securelist
KnowBe4
KnowBe4 geeft aan geen gebruik te maken van de Log4j componenten.
Thales
Sommige versies van Sentinel productlijn kunnen de kwetsbaarheid bevatten. Op deze pagina geeft Thales een update van de status.
Referentie: Knowledge Article View - Thales Customer Support (thalesgroup.com)
Fortinet
Een aantal producten van Fortinet bevat de genoemde kwetsbaarheid. Op de site van Fortinet staat een overzicht (link).
Referenties: CVE-2021-44228 — Apache Log4j Vulnerability | Fortinet
Forcepoint
Enkele producten van Forcepoint maken gebruik van de Log4j componenten en zijn daarmee mogelijk kwetsbaar.
Alle niet genoemde producten van Forcepoint zijn veilig omdat ze geen Java of een veilige versie van Log4j gebruiken.
Forcepoint adviseert om de voorstelde herstelacties zo spoedig mogelijk uit te voeren.
Forcepoint DLP
Forcepoint DLP maakt gebruik van Log4j en dient herstelt te worden.
CVE-2021-44228 Java log4j vulnerability mitigation with Forcepoint DLP
Forcepoint Security Manager (Web, email en DLP)
CVE-2021-44228 Java log4j vulnerability mitigation with Forcepoint Security Manager
ManageEngine
ManageEngine geeft aan dat hun producten niet rechtstreeks gebruik maken van Log4j voor logging. Echter, een aantal ME producten maakt wel gebruik van aanvullende componenten van derden die mogelijk wel gebruik maken van Log4j en daarmee een kwetsbaarheid introduceren.
De producten van ManageEngine die Log4j kunnen bevatten zijn:
|
Product name |
Jar version in bundled dependency |
|
ADManager Plus |
V2.11.1 |
|
ADAudit Plus |
V2.10.0 |
|
DataSecurity Plus |
V2.10.0 |
|
EventLog Analyzer |
V2.9.1 |
|
M365 Manager Plus |
V2.11.1 |
|
RecoveryManager Plus |
V2.11.1 |
|
Exchange Reporter Plus |
V2.11.1 |
|
Log360 |
V2.9.1 |
|
Log360 UEBA |
V2.11.1 |
|
Cloud Security Plus |
V2.9.1 |
|
M365 Security Plus |
V2.11.1 |
|
Analytics Plus |
V2.7 |
Producten van ME die niet in de bovenstaande lijst staan, bevatten de kwetsbaarheid NIET.
Per product, welke eventueel via derden gebruikt maakt van de Log4j component, geeft ME een oplossing.
ADAudit Plus
ADManager Plus
Analytics Plus
Update on the recent Apache Log4j2 vulnerabilities - Impact on ManageEngine Analytics Plus
Cloud Security Plus
DataSecurity Plus
Vulnerability news update - Data Security Plus (manageengine.com)
EventLog Analyzer
Fixing Log4j CVE-2021-44228 Vulnerability In EventLog Analyzer (manageengine.com)
Exchange Reporter Plus
Precautionary steps to take against Log4j vulnerability (manageengine.com)
Log360
Steps to protect Log360 from Log4j Vulnerabilities (manageengine.com)
Log360 UEBA
M365 Manager Plus
M365 Security Plus
RecoveryManager Plus
Referentie: Update on the recent Apache Log4j2 vulnerability - Impact on ManageEngine on-premises products
CBABenelux
CBABenelux, the One Stop IT tooling & IT Security service partner, is gevestigd in Amsterdam Sloterdijk. Als distributeur, sinds 1999, gespecialiseerd in IT tools voor IT beheer en IT security. CBABenelux heeft 12 senior IT medewerkers, met grondige kennis van alle geleverde producten. Wij hebben partnerships met Fortinet, Forcepoint, Kaspersky, ManageEngine en Thales.
CBABenelux kan jou helpen met het implementeren van een fix. Neem voor meer informatie contact met ons op: Contactformulier | CBABenelux