Log4shell kwetsbaarheid en Kerkdienstgemist reactie

Afgelopen zaterdag (11 december 2021) maakte het Nationaal Cyber Security Centrum (NCSC) een kwetsbaarheid bekend in het veelgebruikte Log4j. Deze kwetsbaarheid wordt Log4shell genoemd en heeft de technische naam CVE-2021-44228 gekregen. Als Kerkdienstgemist hebben we sinds zaterdag gecontroleerd of we gevoelig zijn voor Log4shell en waar nodig stappen genomen.

Op basis van onze analyse hebben wij geen reden om aan te nemen dat er onterechte toegang tot onze systemen mogelijk was, of verkregen is. Op dit moment hebben we vertrouwen dat al onze systemen zijn afgeschermd voor de Log4shell kwetsbaarheid.

Het is voor Kerkdienstgemist niet gebruikelijk om te reageren op individuele security events. Vanwege de grote aandacht voor en verstrekkende gevolgen van de Log4shell kwetsbaarheid en vragen die gesteld zijn door klanten is besloten om in dit geval een korte uitleg te publiceren.

Korte uitleg Log4shell

Log4j wordt in veel software gebruikt voor het wegschrijven van informatie in (elektronische) logboeken. Afgelopen vrijdag werd in Log4j een beveiligingslek gevonden. Door dit beveiligingslek is ook alle software waarin Log4j gebruikt wordt mogelijk onveilig. Het NCSC maakte afgelopen zaterdag dit beveiligingslek bekend en houdt sindsdien een overzicht bij van software waarin Log4j gebruikt wordt en stappen die genomen moeten worden om die software te beveiligen.

Het NCSC, security bedrijven en eindgebruikers van software die Log4j gebruiken zijn sinds zaterdag bezig met een inventarisatie waarbij onder andere de volgende vragen gesteld worden:

• In welke bij ons gebruikte software wordt Log4j gebruikt?
• Is deze software nu onveilig?
• Moeten we stappen nemen om onze dienstverlening en klantgegevens veilig te stellen?

Een groot deel van deze analyse is openbaar en wordt gedeeld tussen beveiligingsbedrijven, ontwikkelaars van software en eindgebruikers. Dit is gebruikelijk bij vergelijkbare security events. Deze analyse en eventuele oplossingen moet snel gebeuren omdat kwaadwillenden (hackers) vaak ook meteen beginnen met het misbruiken van zo’n gevonden lek.

Analyse Kerkdienstgemist

Ook bij Kerkdienstgemist hebben we zaterdag 11 december geïnventariseerd of wij software gebruiken die gevoelig is voor Log4shell. Deze analyse moest zorgvuldig gebeuren. Verder kwamen er in de dagen na zaterdag nieuwe beveiligingsadviezen beschikbaar, waarvoor we ook nieuwe controles hebben uitgevoerd.

Wij hebben in onze infrastructuur software aangetroffen die gebruik maakt van Log4j. We hebben vastgesteld dat de door ons gebruikte versies en configuraties van Log4j niet kwetsbaar zijn. Niettemin hebben we, uit voorzorg, aanpassingen uitgevoerd om de Log4shell kwetsbaarheid in de toekomst te voorkomen, waar nodig.

Op dit moment hebben we vertrouwen dat al onze systemen zijn afgeschermd voor de Log4shell kwetsbaarheid.

Tijdlijn

• Woensdag 15 december
  Naar aanleiding van gestelde vragen besluiten we om deze uitleg te plaatsen.
• Dinsdag 14 december
  Op basis van meer informatie en uitgebreidere tooling die onderhand beschikbaar is gekomen voeren we een configuratie aanpassing uit in een intern logsysteem. Ook monitoren we of er hack-pogingen geweest zijn afgelopen dagen in onze systemen.
• Maandag 13 december
  Op basis van meer informatie en uitgebreidere tooling die onderhand beschikbaar is gekomen doen we enkele aanvullende controle’s waarbij we met name aandacht besteden aan onze videoservers.
• Zaterdag 11 december
  Kerkdienstgemist doet een eerste analyse en stelt vast dat de gebruikte versies van software niet geraakt worden door Log4shell
• Zaterdag 11 december
  NCSC maakt bekend dat er een kwetsbaarheid is in Log4j en begint met het bijhouden van veelgebruikte software die hierdoor geraakt word.

Mogelijke vragen

• Is Kerkdienstgemist gehackt?
  Nee. Het feit dat een kwetsbaarheid, theoretisch, beschikbaar was betekent niet dat deze ook gebruikt is door kwaadwillenden. Op basis van onze analyse hebben wij geen reden om aan te nemen dat er onterechte toegang tot onze systemen mogelijk was, of verkregen is.
• Is mijn data veilig?
  Ja. Als Kerkdienstgemist werken we met gevoelige persoonsdata, hier gaan we op een zeer zorgvuldige manier mee om. We werken voortdurend aan de veiligheid van onze systemen. In het geval van security events zoals Log4shell reageren we snel om data veilig te houden.
• Moet ik hier nu iets mee? Is mijn wifi thuis veilig? Moeten we in de kerk maatregelen nemen?
  Dat kunnen wij niet beoordelen, vraag hiervoor eventueel advies aan security bedrijf. Dezelfde adviezen als altijd blijven gelden: zorg dat software up-to-date is, browse op een veilige manier, ga op een verstandige manier om met apparatuur. Zie hiervoor veilig internetten van de rijksoverheid.

Relevante links

• Veilig internetten: https://veiliginternetten.nl/
• Uitleg NCSC: https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
• Beveiligingsadvies NCSC: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052
• Overzicht met geraakte software en diensten en te nemen stappen: https://github.com/NCSC-NL/log4shell/tree/main/software