Geüpdatet op 27-12-2021 om 1512hrs CET.

+++++++++


De leverancier Elastic heeft haar adviezen omtrent ElastisSearch niet aangepast ondanks de nieuwe bevindingen omtrent log4j. Wel hebben zij een nieuwe versie (7.16.1) uitgebracht die gebruikt kan worden. De update/installatie instructies staan op de volgende pagina: https://wiki.decos.com/nl/jzd/features/searchfunctionelastic 


Goed om te vermelden dat deze getest is tegen JOIN versies 2021.9 en 2021.12.


Let op: Elastic heeft ook versie 7.16.2 uitgebracht. Deze versie wordt nog door ons getest. Vandaar ook het dringende advies om deze nog niet te gebruiken.


+++++++++

Intro

Op vrijdag 10 December 2021 is de kwetsbaarheid zoals beschreven in CVE-2021-44228 publiekelijk bekend geworden. Voor deze kwetsbaarheid is inmiddels ook een proof of concept bekend waarmee de kwetsbaarheid benut kan worden. Veel gedetailleerde informatie omtrent de kwetsbaarheid is door ons NCSC beschikbaar gesteld op de volgende pagina:
https://github.com/NCSC-NL/log4shell 

 

Onderzoek

Zoals bekend is Decos altijd alert op kwetsbaarheden (intern en extern). Daarom hebben wij ook al onze producten en gebruikte componenten bekeken om te weten of de kwetsbaarheid aanwezig is. Het goede nieuws is dat onze eigen ontwikkelde software geen gebruik maakt van het kwetsbare component.


Dit betekend dus de volgende producten:

- JOIN Zaak en Document

- JOIN Klantcontact

- JOIN Burgerberichten (JOIN E-Formulieren)

- FIXI

- Regelhulpen

- STUF integraties

- Zaaktypen.nl

- Ourmeeting

- Datamask

- Dataintegrator

 

Wel hebben wij geconstateerd dat de software van andere leveranciers die wij gebruiken wel het component gebruiken. Echter is geen van deze producten direct vanaf het internet beschikbaar en dus alleen vanuit het interne netwerk. 

De lijst is als volgt:

- ElasticSearch van Elastic.

- Logstash van Elastic.

 

Oplossing voor deze kwetsbaarheid

De oplossing voor deze kwetsbaarheid is per product verschillend. Ook de verantwoording om de aangegeven oplossing door te voeren is verschillend. Per omgeving en product zullen wij dit aangeven. Leidend ook voor ons is de officiële pagina van de leverancier van ElasticSearch en Logstash: https://discuss.elastic.co/

 

Decos Private Cloud:

 

ElasticSearch:

  • AzureKS: Decos heeft de aanbevolen wijziging bekeken en geconstateerd dat deze niet van toepassing is. Wel zullen wij op aanbeveling van Elastic zodra de nieuwe versie (7.16.1) is vrijgegeven deze testen en in installeren. Hierover volgt later nog een aparte mailing.
  • AzureVM: Decos heeft de aanbevolen wijziging bekeken en geconstateerd dat deze niet van toepassing is. Wel zullen wij op aanbeveling van Elastic zodra de nieuwe versie (7.16.1) is vrijgegeven deze testen en in installeren. Hierover volgt later nog een aparte mailing. 

Logstash:

  • AzureKS: Decos heeft de aanbevolen wijziging bekeken en zal deze vanavond omstreeks 1800hr doorvoeren. Tot deze wijziging is doorgevoerd monitoren wij de logging op de zoekstring zoals aangegeven door het NCSC. 
  • AzureVM: Maakt geen gebruik van Logstash.

 

Onpremise / Lokale installaties:

ElasticSearch:

  • Volgens de leverancier Elastic zou de onderstaande tekst toegevoegd moeten worden in het  jvm.options bestand dat in de volgende map van de Elastic installatie te vinden is:  c:\Decos\apps\Elastic\elasticsearch-7.xyz\config

 

De tekst luidt als volgt:

#log4j preventie kwetsbaarheid

 -Dlog4j2.formatMsgNoLookups=true

 

Het toevoegen van de regel met het # teken is handig zodat iedereen die het bestand leest weet dat de aanpassing al gedaan is. Soms is er al een regel die luidt: #log4j 2 


Laat deze staan en voeg alleen de nieuwe 2 regels toe. Een visuele weergave is de volgende waarbij de toe te voegen tekst in het rood omkaderde gebied geplaats kan worden:


Graphical user interface, text, application, email

Description automatically generated

 

Zodra deze wijzging is opgeslagen zijn de volgende stappen van belang:

- Stop de ElasticSearch service

- Stop de JOIN Backgroundservice

- Start de ElasticSearch service en wacht tot deze volledig is gestart

- Start de JOIN Backgroundservice.


Indien uw ICT beheerder niet comfortabel is met het toevoegen van deze regel dan kunnen wij dit voor u doen. Houdt er dan wel rekening mee dat dit afhankelijk is van de beschikbaarheid van onze medewerkers.

 

Logstash:

Deze software wordt niet door lokale JOIN / Elastic installaties gebruikt.

 

Controleren op ongeoorloofde toegang?

Zoals aangegeven in de eerder verstuurde mailing monitoren wij logbestanden op de tekst zoals aangegeven door het NCSC.