C2021D22 Update log4shell

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

1. Update log4shell RCE

Iedereen die het nieuws een beetje gevolgd heeft¹⁾, zal het niet ontgaan zijn dat er recent een probleem ontdekt is in een veelgebruikte java library, genaamd log4j.

Zoals elke zichzelf respecterende kritieke fout heeft dit probleem een naam (log4shell), een logo en inmiddels zelfs z'n eigen wiki pagina.

Hieronder een overzicht en een tijdlijn van de acties die door team Hosting&Streaming uitgevoerd zijn naar aanleiding van dit probleem.

Zowel het Appcluster als CHP zijn veilig en hebben geen noemenswaardig risico gelopen. Log4j wordt wel in een aantal projecten gebruikt, maar deze zijn inmiddels gepatched en/of er zijn workarounds actief om de exploit onschadelijk te maken. Daarnaast draait in het appcluster eigenlijk altijd de nieuwste beschikbare java versie, die -als we de berichten mogen geloven- überhaupt niet kwetsbaar is voor deze exploit.

• Donderdag avond 9 december: exploit wordt op twitter en github bekend gemaakt.
• Vrijdag ochtend 10 december: Probleem komt binnen bij team H&S via onze security kanalen.
• Vrijdag ochtend 10 december: Bijna tegelijkertijd krijgen we ook een melding vanuit het POMS team (want een onderdeel van POMS is hier kwetsbaar voor). Vrijwel direct daarna is dit onderdeel ge-update naar een nieuwere log4j versie en is het probleem voor POMS opgelost.
• Vrijdag avond 10 december: Er is een scan gemaakt van alle appcluster omgevingen die mogelijk kwetsbaar zouden kunnen zijn (bv java zaken als elasticsearch, keycloak en active mq) en waar nodig zijn mitigerende maatregelen genomen zodat de hack niet meer kan werken.
• Zaterdag 11 / Zondag 12 december: Er is een scan gemaakt van de CHP omgevingen die mogelijk kwetsbaar zouden kunnen zijn. De uitkomst daarvan is dat er geen acuut risico is.
• Maandag ochtend 13 december: In CHP worden waar nodig (elasticsearch in het logging cluster) mitigerende maatregelen genomen; bij elasticsearch is er geen sprake van een remote code execution, wel van mogelijke information leakage.
• Dinsdag ochtend 14 december: vanuit AWS (managed opensearch service = AWS smaak van elasticsearch) zijn inmiddels ook patches verschenen, deze zijn uitgerold.

Inmiddels is er een nieuwe versie van elasticsearch uitgekomen. Hoewel we denken dat we op elasticsearch gebied geen risico lopen (want voldoende nieuwe java, workaround actief en elasticsearch is alleen kwetsbaar voor information leakage) kiezen we toch voor een “better safe than sorry” aanpak en rollen we op dinsdagmiddag 14 december deze nieuwe versie uit in het appcluster. Deze versie is sinds 13 december actief in het testcluster.

Team Hosting&Streaming is voor meer informatie via de normale kanalen bereikbaar. Zie de contact pagina