We hebben inmiddels drie keer gerapporteerd over de waarschuwing van het Nationaal Cyber Security Centrum dat er een lek zit in Apache Log4j2. Dit is software die wereldwijd door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Het wordt niet gebruikt in dg DIALOG BGT en MOVE3, maar wel binnen het serverdeel van het BGT-berichtenverkeer. Gisteren hebben we gemeld hoe je problemen kunt voorkomen, nu informeren we je verder over een oplossing.
Wat moet je doen?
Als het goed is staat het berichtenverkeer inmiddels uit. Dat betekent dat je geen berichten kunt verzenden naar en ontvangen van het SVB-BGT/LV-BGT en ook niet van je BOR- en je BAG-applicatie. In de tussentijd hebben wij een oplossing beschikbaar, waarover wij jullie direct zullen benaderen. Wellicht is dat inmiddels al gebeurd en is het berichtenverkeer weer operationeel.
Deze informatie is enkel bedoeld voor diegenen, die één of meer modules van het berichtenverkeer operationeel hebben. Als je geen berichtenverkeer operationeel hebt, hoef je niets te doen.
Hot fix op berichtenverkeerserver
Wij hebben een patch voor de Log4j2 kwetsbaarheid in het BGT-berichtenverkeer. Met deze aanpassing wordt zowel de CVE-2021-44228 als de CVE-2021-45046 bedreiging tegengegaan. Die kunnen wij bij jullie uitrollen. Omdat we heel veel klanten hebben en we hen niet allemaal tegelijk kunnen helpen, vragen wij je om nog even geduld te hebben. Zoals gezegd, wij nemen zelf contact met je op.
De installatie is simpel en kan remote in 15 min worden uitgevoerd. Het betreft: services stoppen, bestand vervangen (dus: oude verwijderen en nieuwe plaatsen), services starten. We verzorgen ook een korte instructie, zodat je de installatie zelf kunt doen. Dat is meestal de snelste oplossing.
Toelichting op de hot fix
Jouw organisatie gebruikt het BGT-berichtenverkeer van Sweco GIS & ICT voor het verzenden en ontvangen van StUF berichten van en naar de dg DIALOG BGT applicatie en de database. Op dit moment is er een kwetsbaarheid bekend in de logging component ‘Log4j2’. Deze logging component wordt gebruikt in de ESB component ‘Mule’ versie 3.7 van het BGT-berichtenverkeer.
Onze client-applicatie, dg DIALOG BGT, is niet kwetsbaar. Ook MOVE3 is niet kwetsbaar.
Een nieuwe versie van het BGT-berichtenverkeer zal even op zich laten wachten, intussen willen we wel graag dat klanten het berichtenverkeer weer snel kunnen gebruiken.
De Log4j2 component die we gebruiken, is Log4j2 versie 2.1.0. Die versie is kwetsbaar voor de exploit. Apache, de organisatie die Log4j2 beheert heeft een nieuwe versie uitgebracht, versie 2.15. Deze versie is helaas niet bruikbaar in Mule versie 3.7. Onze oplossing is een patch, die het bestand ‘Log4j-core-2.1.jar’ vervangt in de directory ‘<drive>:\BGT_Berichtenverkeer\mule\lib\boot’ met een bestand zonder kwetsbare JNDI functionaliteit.
Het patch bestand is 823.356 bytes, de MD5 hash van de patch is b04fdb236c0d84247d4565a30a685356.
Het origineel is 824.749 bytes, de MD5 hash van het origineel is 8d331544b2e7b20ad166debca2550d73.
Het patchen van deze JAR wordt door een aantal partijen beschreven. Op een pagina van Apache zelf: https://logging.apache.org/log4j/2.x/index.html (onderaan bij cve nummer) en door security labs: https://mogwailabs.de/en/blog/2021/12/vulnerability-notes-log4shell/. Ook door Microsoft: https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/
De exploit wordt nu al door kwaadwillende partijen gebruikt op algemene websites. Bij het BGT Berichtenverkeer is er een aantal omstandigheden die de exploit hinderen maar niet onmogelijk maken:
- Het BGT-berichtenverkeer is niet benaderbaar vanaf een willekeurige host op internet. De firewall regels van de organisatie staan alleen verkeer toe van een andere BOR, BAG of LV BGT berichtenserver.
- Het BGT-berichtenverkeer is beveiligd met PKI certificaten, het accepteert alleen verkeer van vertrouwde partijen.
- Het BGT-berichtenverkeer accepteert alleen StUF berichten en dus alleen XML over SOAP. Het is lastig om een bericht te bouwen dat voldoet aan de StUF standaard en de exploit kan triggeren.
Dit issue toont des te meer weer aan dat het belangrijk is om te controleren dat er in de organisatie inderdaad strikte firewall rules zijn en dat HTTPS wordt gebruikt.
Zie: https://logging.apache.org/log4j/2.x/security.html
Meer informatie over de kwetsbaarheid en het bijbehorende advies is te vinden op de website van het National Cyber Security Centrum.
We houden je op de hoogte
Zodra er meer bekend is, zullen we je via nieuwsberichten op deze website op de hoogte houden. Of je Sweco adviseur neemt direct contact met je op.
Heb je nog specifieke vragen? Neem dan contact op met de helpdesk: [email protected] of +31 800-022 44 01.