image

VS noemt Log4j-lek onacceptabel risico en kondigt noodmaatregelen af

zaterdag 18 december 2021, 13:36 door Redactie, 18 reacties

De recent ontdekte kwetsbaarheid in Log4j waardoor aanvallers op afstand code op servers kunnen uitvoeren vormt een "onacceptabel risico" voor de Amerikaanse federale overheid waardoor noodmaatregelen nodig zijn. Dat stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het CISA kan in noodsituaties een "Emergency Directive" afgeven. Daarmee worden federale overheidsinstanties in de VS verplicht om beveiligingsupdates voor een bepaalde datum te installeren of mitigatiemaatregelen door te voeren. Eerder kwam het CISA vanwege het Log4j-lek al met een "Binding Operational Directive" waarin werd gesteld dat de Log4j-patch voor 24 december moet zijn geïnstalleerd.

Vanwege de impact van het beveiligingslek is nu ook een "Emergency Directive" afgegeven. Het CISA stelt dat de kwetsbaarheid een onacceptabel risico vormt en direct noodmaatregelen vereist. Dit is gebaseerd op het waargenomen misbruik van het beveiligingslek, de kans op verder misbruik, de aanwezigheid van de kwetsbare software binnen de Amerikaanse overheid en de grote kans dat aanvallers toegang tot vertrouwelijke systemen krijgen.

In de Emergency Directive staat dat overheidsinstanties alle kwetsbare systemen die vanaf internet toegankelijk zijn meteen moeten patchen. Wanneer dit niet mogelijk is moeten mitigatiemaatregelen worden genomen. Anders dient de kwetsbare software van overheidsnetwerken te worden verwijderd. Overheidsinstanties krijgen tot en met 28 december de tijd om aan het CISA te laten weten welke maatregelen ze hebben genomen en voor welke software.

Reacties (18)
18-12-2021, 13:43 door Anoniem
Mitigatiemaatregel voor de firewall: block all TCP outgoing SYN packets
18-12-2021, 13:53 door Anoniem
Succes. De beheerders zijn al met kerstreces hoor.
18-12-2021, 14:03 door Anoniem
Wat worden die noodmaatregelen?
18-12-2021, 16:20 door Anoniem
Door Anoniem: Wat worden die noodmaatregelen?

Dat staat er toch ?

Het is een bindende aanwijzing voor federale instanties dat ze moeten patchen of mitigeren op heel korte termijn.

Overheidsinstanties zijn hierarchisch - maar voor een hoop keuzes is het hoogste management van een instantie de eindbeslisser - in prioriteit, budget e.d. . En voor veel dingen een stuk lager - directeur IT bijvoorbeeld.

Hier komt de beslissing dan van nog een stapje erboven , en wordt de prioriteit en deadline van (nog) hoger opgelegd aan federale overheidsinstanties. Als die instanties het goed voor elkaar hadden maakt het niet uit - dan hebben ze zelf al ingeschat dat dit issue hoogste prioriteit heeft en heel snel opgelost moet worden .
Maar zo niet is dit de schop onder kont dat ze andere zaken maar even moeten parkeren om dit op te lossen.
18-12-2021, 18:06 door Anoniem
Door Anoniem: Succes. De beheerders zijn al met kerstreces hoor.

Was het maar zo, aankomende week weinig concentratie omdat de scholen dicht zijn, concentratie met thuis werken is ook niet te doen...
18-12-2021, 21:03 door Anoniem
Door Anoniem:
Door Anoniem: Succes. De beheerders zijn al met kerstreces hoor.

Was het maar zo, aankomende week weinig concentratie omdat de scholen dicht zijn, concentratie met thuis werken is ook niet te doen...
IT is geen vitale sector, dus lekker rustig vanuit huis pielen...
18-12-2021, 21:32 door Anoniem
Door Anoniem: Mitigatiemaatregel voor de firewall: block all TCP outgoing SYN packets

LOL.
Je kan ook:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
COMMIT
18-12-2021, 22:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Succes. De beheerders zijn al met kerstreces hoor.

Was het maar zo, aankomende week weinig concentratie omdat de scholen dicht zijn, concentratie met thuis werken is ook niet te doen...
IT is geen vitale sector, dus lekker rustig vanuit huis pielen...

Het volgende scenario is wat er voorvalt bij een kortdurende landelijke ICT/Telecom uitval.

Categorie B

o Economische gevolgen > ca. 5 miljard euro schade of ca. 1,0 % daling reëel inkomen.
o Fysieke gevolgen: meer dan 1.000 personen dood, ernstig gewond of chronisch ziek.
o Maatschappelijk: > 100.000 personen emotionele problemen of ernstige overlevingsproblemen.

https://www.nctv.nl/onderwerpen/vitale-infrastructuur/overzicht-vitale-processen
18-12-2021, 23:01 door Anoniem
Door Anoniem:
Door Anoniem: Mitigatiemaatregel voor de firewall: block all TCP outgoing SYN packets

LOL.
Je kan ook:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
COMMIT

Ik nam aan dat men de applicatie/servlet server wel in gebruik wilde blijven houden.

De iptables die jij noemt zijn nonsens. Je hebt een interface UP gebracht om vervolgens al het verkeer te droppen. Waarom de interface dan niet gewoon DOWN brengen?
19-12-2021, 08:10 door karma4 - Bijgewerkt: 19-12-2021, 08:11
Door Anoniem:
Dat staat er toch ?
Het is een bindende aanwijzing voor federale instanties dat ze moeten patchen of mitigeren op heel korte termijn.
Overheidsinstanties zijn hierarchisch - maar voor een hoop keuzes is het hoogste management van een instantie de eindbeslisser - in prioriteit, budget e.d. . En voor veel dingen een stuk lager - directeur IT bijvoorbeeld. ... .
Het staat er niet als je realistisch bent.

We zetten 1 miljoen ervaren beheerders aan het werk en de log4j groep krijgt onbeperkt budget en mankracht om het op tijd te regelen. Totaal niet realistisch, hoeveel nonsense dat wel zinnig lijkt valt er te produceren? Spoiler zeer veel.

Wat me opvalt dat de kwetsbaarheid vooral genoemd wordt voor web en anderen toegangen. Het lijkt door te slaan dat als het ergens met lokale bestandlogging zonder aparte toegangswegen (geen web) ook als probleem gezien wordt.
Gezien de lijst bij het NCSC kun je de computers overal beter uit zetten. https://www.ncsc.nl/onderwerpen/log4j
19-12-2021, 09:42 door Anoniem
Door karma4:
Door Anoniem:
Dat staat er toch ?
Het is een bindende aanwijzing voor federale instanties dat ze moeten patchen of mitigeren op heel korte termijn.
Overheidsinstanties zijn hierarchisch - maar voor een hoop keuzes is het hoogste management van een instantie de eindbeslisser - in prioriteit, budget e.d. . En voor veel dingen een stuk lager - directeur IT bijvoorbeeld. ... .
Het staat er niet als je realistisch bent.
Als je realistisch bent erken je dat het er wel degelijk staat. Je kan betwijfelen of het beoogde effect wel gehaald gaat worden, en die twijfel kan ook heel realistisch zijn, maar dat neemt niet weg dat de afgekondigde noodmaatregel precies is wat er staat.

Als bij een dreigende doorbraak van een rivierdijk zandzakken op de dijk worden geplaatst dan betekent het risico dat men niet snel genoeg is of dat het te weinig is, en de dijk toch doorbreekt, niet dat de beslissing om zandzakken te leggen niet genomen is.
19-12-2021, 09:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mitigatiemaatregel voor de firewall: block all TCP outgoing SYN packets

LOL.
Je kan ook:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
COMMIT

Ik nam aan dat men de applicatie/servlet server wel in gebruik wilde blijven houden.

De iptables die jij noemt zijn nonsens. Je hebt een interface UP gebracht om vervolgens al het verkeer te droppen. Waarom de interface dan niet gewoon DOWN brengen?

Geen gevoel voor humor zeker?
19-12-2021, 10:01 door Anoniem
ach een "sudo find / -name '*.jar' -delete" doet wonderen...
19-12-2021, 16:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mitigatiemaatregel voor de firewall: block all TCP outgoing SYN packets

LOL.
Je kan ook:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
COMMIT

Ik nam aan dat men de applicatie/servlet server wel in gebruik wilde blijven houden.

De iptables die jij noemt zijn nonsens. Je hebt een interface UP gebracht om vervolgens al het verkeer te droppen. Waarom de interface dan niet gewoon DOWN brengen?

Voor thuis: Gebruik een applicatie firewall en weet welk verkeer je toestaat. Heeft al veel ellende voorkomen.
19-12-2021, 21:50 door Anoniem
Door karma4:Gezien de lijst bij het NCSC kun je de computers overal beter uit zetten.
Dat is natuurlijk wel redelijk veilig (geen last meer van die vulnerability), maar dan functioneert er ook niets meer. Dat 'niet functioneren' kan ook weer als onveilig worden beschouwd .
19-12-2021, 21:54 door Anoniem
Door Anoniem: ach een "sudo find / -name '*.jar' -delete" doet wonderen...
Een "sudo poweroff" doet ook wonderen, maar valt wel meer op.
20-12-2021, 09:32 door [Account Verwijderd] - Bijgewerkt: 20-12-2021, 09:32
Door Anoniem:
Door Anoniem: ach een "sudo find / -name '*.jar' -delete" doet wonderen...
Een "sudo poweroff" doet ook wonderen, maar valt wel meer op.

Alleen als je het account wachtwoord hebt.
20-12-2021, 21:59 door Anoniem
Hoe staat het met de kwetsbaarheid van port state service server?
Name of the file? Apache MINA point to public_htm. Is per default geïnstalleerd. find / -name log4j-core-*.jar
Of via locatie grep.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.