Log4j kwetsbaarheid (laatste update 20-12)


De wereld is opgeschrikt door een ernstig lek in een open-source product van de Apache Foundation. Het component in kwestie heet Log4j. Het lek maakt veel systemen wereldwijd kwetsbaar voor misbruik door cybercriminelen. Het probleem met Log4j is dat het in veel software is geïntegreerd. Dat maakt het analyseren en oplossen complex.

Hierbij geven we een overzicht van onze producten en leveranciers, in hoeverre ze zijn geraakt door het lek en welke oplossing ze voorstellen. In veel gevallen is een oplossing of workaround beschikbaar.

Uiteraard kunnen wij je ondersteunen bij het oplossen van de kwetsbaarheid en het implementeren van deze oplossing. Wil je onze support, dan kun je de gebruikelijke support kanalen gebruiken, maar we willen je adviseren om ons te bellen. Desgewenst kunnen we per product de door de fabrikant voorgestelde oplossing met je doornemen.

 

Algemeen

Het lek is gepubliceerd op 9 december 2021 en heet formeel “CVE-2021-44228 vulnerability”. De kwetsbaarheid zit in versies lager dan 2.15.0 van Apache Log4j (2.14.1 en lager). De kwetsbaarheid wordt ook wel aangeduid als Log4Shell of LogJam.

Een waarschuwing bij het oplossen van het probleem: volg de aanwijzingen van de fabrikant of de Apache Foundation. Het downloaden en implementeren van oplossing die elders worden gevonden hoeft de problemen niet op te lossen en kan zelfs leiden tot grotere schade.

Referenties:

Log4j – Apache Log4j Security Vulnerabilities

CVE - CVE-2021-44228 (mitre.org)

log4shell/software at main · NCSC-NL/log4shell · GitHub

Updates

2021-12-15: een tweede kwetsbaarheid is aangetroffen in dezelfde componenten. Deze is bekend onder kenmerk CVE-2021-45046. Het betreft een gevolg van een onvolledige fix van de initiele kwetsbaarheid.

2021-12-16: KnowBe4 geeft aan dat zij GEEN gebruik maken van de Log4j componenten.

2021-12-16: ManageEngine geeft aan dat de betreffende Log4j componenten ook in gebruik zijn bij hun Analytics Plus en M365 Security Plus software.

2021-12-17: Updates van ManageEngine. Links bijgewerkt naar meest recente info.

2021-12-20: Apache heeft een derde patch (Log4j 2.17.0)  moeten uitbrengen om de kwetsbaarheid te repararen. Deze patch heeft een lagere prioriteit dan de eerste. 

 

Kaspersky

GEEN van de producten van Kaspersky bevat deze kwetsbaarheid.

Referentie: CVE-2021-44228 vulnerability in Apache Log4j library | Securelist

 

KnowBe4

KnowBe4 geeft aan geen gebruik te maken van de Log4j componenten.

 

Thales

Sommige versies van Sentinel productlijn kunnen de kwetsbaarheid bevatten. Op deze pagina geeft Thales een update van de status.

Referentie: Knowledge Article View - Thales Customer Support (thalesgroup.com)

 

Fortinet

Een aantal producten van Fortinet bevat de genoemde kwetsbaarheid. Op de site van Fortinet staat een overzicht (link).

Referenties: CVE-2021-44228 — Apache Log4j Vulnerability | Fortinet

 

Forcepoint

Enkele producten van Forcepoint maken gebruik van de Log4j componenten en zijn daarmee mogelijk kwetsbaar.

Alle niet genoemde producten van Forcepoint zijn veilig omdat ze geen Java of een veilige versie van Log4j gebruiken.

Forcepoint adviseert om de voorstelde herstelacties zo spoedig mogelijk uit te voeren.

Forcepoint DLP

Forcepoint DLP maakt gebruik van Log4j en dient herstelt te worden.

CVE-2021-44228 Java log4j vulnerability mitigation with Forcepoint DLP

Forcepoint Security Manager (Web, email en DLP)

CVE-2021-44228 Java log4j vulnerability mitigation with Forcepoint Security Manager

 

ManageEngine

ManageEngine geeft aan dat hun producten niet rechtstreeks gebruik maken van Log4j voor logging. Echter, een aantal ME producten maakt wel gebruik van aanvullende componenten van derden die mogelijk wel gebruik maken van Log4j en daarmee een kwetsbaarheid introduceren.

De producten van ManageEngine die Log4j kunnen bevatten zijn:

Product name

Jar version in bundled dependency

ADManager Plus

V2.11.1

ADAudit Plus

V2.10.0

DataSecurity Plus

V2.10.0

EventLog Analyzer

V2.9.1

M365 Manager Plus

V2.11.1

RecoveryManager Plus

V2.11.1

Exchange Reporter Plus

V2.11.1

Log360

V2.9.1

Log360 UEBA

V2.11.1

Cloud Security Plus

V2.9.1

M365 Security Plus

V2.11.1

Analytics Plus

V2.7

 

Producten van ME die niet in de bovenstaande lijst staan, bevatten de kwetsbaarheid NIET.

Per product, welke eventueel via derden gebruikt maakt van de Log4j component, geeft ME een oplossing.

ADAudit Plus

Steps to protect ADAudit Plus from Log4j vulnerabilities (CVE-2021-45046 and CVE-2021-44228) (manageengine.com)

ADManager Plus

Update 2 about Apache Log4j vulnerabilities (CVE-2021-45046 and CVE-2021-44228): Steps to protect ADManager Plus (manageengine.com)

Analytics Plus

Update on the recent Apache Log4j2 vulnerabilities - Impact on ManageEngine Analytics Plus

Cloud Security Plus

Steps to protect Cloud Security Plus from Log4j vulnerabilities (CVE-2021-45046 and CVE-2021-44228) (manageengine.com)

DataSecurity Plus

Vulnerability news update - Data Security Plus (manageengine.com)

EventLog Analyzer

Fixing Log4j CVE-2021-44228 Vulnerability In EventLog Analyzer (manageengine.com)

Exchange Reporter Plus

Precautionary steps to take against Log4j vulnerability (manageengine.com)

Log360

Steps to protect Log360 from Log4j Vulnerabilities (manageengine.com)

Log360 UEBA

Precautionary steps to protect Log360 UEBA from Log4j vulnerabilities CVE-2021-45046 and CVE-2021-44228 (manageengine.com)

M365 Manager Plus

[Update] Precautionary steps to protect M365 Manager Plus from Log4j vulnerability (CVE-2021-44228 and CVE-2021-45046) (manageengine.com)

M365 Security Plus

[Update] Precautionary steps to protect M365 Security Plus from Log4j vulnerability (CVE-2021-44228 and CVE-2021-45046) (manageengine.com)

RecoveryManager Plus

[Update] Precautionary steps to protect RecoveryManager Plus from Log4j vulnerabilities (CVE-2021-44228) and (CVE-2021-45046) (manageengine.com)

 

Referentie: Update on the recent Apache Log4j2 vulnerability - Impact on ManageEngine on-premises products

 

CBABenelux

CBABenelux, the One Stop IT tooling & IT Security service partner, is gevestigd in Amsterdam Sloterdijk. Als distributeur, sinds 1999, gespecialiseerd in IT tools voor IT beheer en IT security. CBABenelux heeft 12 senior IT medewerkers, met grondige kennis van alle geleverde producten. Wij hebben partnerships met Fortinet, Forcepoint, Kaspersky, ManageEngine en Thales.

CBABenelux kan jou helpen met het implementeren van een fix. Neem voor meer informatie contact met ons op: Contactformulier | CBABenelux