“Log4Shell” Apache-kwetsbaarheid: Wat Kiteworks-klanten moeten weten
Als vervolg op onze recente waarschuwingen aan Kiteworks-klanten zijn er drie kwetsbaarheden ontdekt in de op Java gebaseerde open-source loggingbibliotheek van Apache Log4j. Deze kwetsbaarheden (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) worden gezamenlijk aangeduid als Log4Shell of LogJam. Net als eerdere exploits zoals Shellshock of Heartbleed is Log4Shell een op afstand te misbruiken beveiligingslek dat volledige overname van het systeem mogelijk maakt zonder authenticatie.
Welke algemene risico’s brengt Log4Shell met zich mee?
De eerste kwetsbaarheid werd op 24 november 2021 bij Apache gemeld door het beveiligingsteam van Alibaba Cloud. CVE-2021-44228 is een kritieke kwetsbaarheid die invloed heeft op de standaardconfiguraties van diverse Apache-frameworks, waaronder Apache Struts2, Apache Solr, Apache Druid, Apache Flink en andere.
Zoals in de media is vermeld, wordt deze bibliotheek breed gebruikt door bedrijfssoftware, webapplicaties en producten van onder andere Apple, Amazon, Cloudflare, Twitter en Steam, waardoor zowel thuisgebruikers als bedrijven worden blootgesteld aan voortdurende aanvallen voor uitvoering van externe code. Net als bij Shellshock- en Heartbleed-exploits verwachten experts dat het aantal kwetsbare producten de komende weken zal blijven toenemen.
Proof-of-concept (POC) exploits worden momenteel online gedeeld en kwaadwillenden zijn al begonnen met het verspreiden van malware die kwetsbare servers opspoort. Kort na de eerste bekendmaking van de zero-day kwetsbaarheid en het uitbrengen van een patch, werden er nog twee Log4j-kwetsbaarheden ontdekt en gepatcht: CVE-2021-45046 op 14 december en CVE-2021-45105 (een denial-of-service [DoS]-probleem) op 18 december.
Wat is de impact voor Kiteworks-klanten?
Hoewel de recente Kiteworks 2021 Fall Release (7.6) de getroffen Apache-bibliotheek bevat, heeft ons testen geen aanwijzingen opgeleverd voor blootstelling aan een van deze kwetsbaarheden. We hebben diverse publiek beschikbare POC-aanvallen geprobeerd zonder enige indicatie van misbruik op het Kiteworks-platform. Daarom beschouwen we dit momenteel niet als een P0-kwetsbaarheid in onze systemen en zijn er geen aanwijzingen dat Log4Shell wordt misbruikt in onze systemen. Daarnaast omvat de meerlaagse bescherming van Kiteworks bestanden die individueel zijn versleuteld, wat betekent dat ze niet blootstaan aan dit soort kwetsbaarheden.
Installeer de Kiteworks 7.6.2-beveiligingspatch
Uit voorzorg heeft Kiteworks een 7.6.2-software-update uitgebracht om deze kwetsbaarheden aan te pakken. Deze patch voegt de mitigatie toe voor CVE-2021-44228, CVE-2021-45046 en CVE-2021-45105 die in het Solr-pakket zitten, zoals aanbevolen door de Apache Solr-groep. Specifiek wordt de Log4j-bibliotheek bijgewerkt naar een niet-kwetsbare versie op CentOS 7-systemen en wordt de aanbevolen optie “$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true” toegevoegd om de mogelijke aanvalsvector uit te schakelen op zowel CentOS 6 als CentOS 7.
Om de 7.6.2-beveiligingsupdate op Kiteworks te installeren:
- Meld je aan bij de Admin Console op je Kiteworks-server.
- Klik in de werkbalk op de knop Systeem.
- Klik in het navigatievenster op Software Update.
- Op de Software Update-pagina, klik bij de instelling Software Version Opt-In op General Availability.
- Klik onderaan het scherm op de knop Check for Update. Wanneer er een update wordt gevonden, controleer dan of het versienummer 7.6.2 of hoger is.
- Installeer de update, klik op Download Software Update en vervolgens op Run Software Update.
We blijven deze kwetsbaarheden proactief monitoren om te bepalen of er wijzigingen optreden in de dreigingsvector die bovenstaande beoordeling veranderen. Als je vragen of problemen hebt met betrekking tot Log4Shell of de 7.6.2-patch, neem dan contact op met Kiteworks Support.