Log4j-kwetsbaarheid: hoe zit het met uw Cevi/Logins-toepassingen?

Log4j kwetsbaarheid U zal via de media vermoedelijk wel vernomen hebben dat er binnen de ICT-wereld ongerustheid heerst over een kwetsbaarheid in de Java open-source tool Log4j. Deze tool wordt in diverse toepassingen en op grote schaal gebruikt als generieke logging tool. Elke leverancier wordt geacht na te gaan in hoeverre zijn software daar kwetsbaar (vulnerable) voor is en om “workarounds” en/of patches aan te leveren zodat men zich ertegen kan beschermen. De dreiging kreeg ook een codering mee: “CVE-2021-44228”.

Cevi/Logins volgt deze ontwikkelingen uiteraard ook op de voet mee!

We kunnen al meegeven dat de de door Cevi/Logins ontwikkelde software deze component niet bevat en hier dus niet kwetsbaar voor is!

Van onze softwareleveranciers-partners weten we ondertussen dat ArcGISServer (ESRI inc.) versie 10.8 niet kwetsbaar is, maar versie 10.7.1 of lager mogelijks wel. Dit wordt nog volop onderzocht. U kunt de bevindingen volgen op op: https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/arcgis-software-and-cve-2021-44228-aka-log4shell-aka-logjam/. Op die pagina vindt u ook maatregelen die u kunt nemen.

Aangezien er nog verschillende klanten (ook van Cevi) werken met versie 10.7.1 en een upgrade al vlug 2 dagen duurt, raden we u aan om eventueel een Web Application Firewall (WAF) op te zetten en de nodige regels in te stellen. Dit is echter een tijdelijke bescherming die op termijn omzeild kan worden. Stel uw intern gebruikte ArcGISServer in elk geval zo in dat die niet via het internet bereikbaar is. Zodra er een patch beschikbaar is (of als duidelijk is dat er geen kwetsbaarheid is) zullen we dit communiceren.

Andere kwetsbare toepassingen waar we momenteel weet van hebben en die regelmatig gebruikt worden bij onze klanten zijn:

vCenter van VMWare: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Ruckus virtual zone: https://support.ruckuswireless.com/security_bulletins/313
Awingu portaal (voor CeLo-Cloud gebruikers): kwetsbaarheid met laag risico en impact. Morgen verkrijgen we een nieuwe patch die dit dicht – installatie daarvan gebeurt morgenavond.

Wij raden u aan om een inventaris te maken van de bij jullie geïnstalleerde software. Controleer voor elk van hen in hoeverre ze al dan niet kwetsbaar is via de website van de leverancier. Een goede site met een link naar diverse leveranciers is de volgende: https://www.cyber.nj.gov/alerts-advisories/log4j-vulnerability-being-actively-exploited

Zodra we meer nieuws hebben, brengen we u zeker op de hoogte!