Afgelopen vrijdag is een beveiligingslek gevonden in een veelgebruikte software library genaamd ‘log4j’. Deze exploit wordt “Log4Shell” of “CVE-2021-44228” genoemd. Dit lek kan van buitenaf worden misbruikt, wat leidt tot Remote Code Execution. Dit is extreem gevaarlijk, omdat een hacker hierdoor de volledige controle over je (Magento/Shopware) shop kan krijgen.
Laten we meteen beginnen met het goede nieuws voor onze klanten: geen zorgen want wij hebben (beveiligings)maatregelen getroffen.
Teamwork makes the dream work
Omdat het zo’n standaard library is die in enorm veel systemen aanwezig is, hebben we met onze engineers, ons security team, en het security team van ons moeder bedrijf, een inventarisatie gemaakt van alle software welke deze library (kon) gebruiken. Een lek welke vanuit extern misbruikt kan worden, en Remote Code Execution (RCE) kan uitvoeren, is extreem gevaarlijk.
Voor jullie zal degene met de meeste impact waarschijnlijk ElasticSearch zijn, omdat deze door veel Magento (2.4+) sites gebruikt word. Maar ook onze eigen infrastructuur bevat software (Logstash, Jenkins, etc) welke wellicht vatbaar zou kunnen zijn.
- ElasticSearch op de Hypernodes zelf is *niet exploitable*. Dankzij het gebruik van de Java Security Manager, en een recente Java versie, is hier geen RCE mogelijk. Ook hebben we een mitigerende optie aangezet zodat deze ook niet vatbaar zijn voor een information leakage probleem.
- Onze interne infrastructuur hebben we vrijdag geheel doorlopen, en waar mogelijk geüpdatet of mitigerende maatregelen getroffen. Helaas waren nog niet voor alle software systemen nieuwe versies, of mitigerende maatregelen, beschikbaar. Daarom hebben we bepaalde delen van onze systemen offline gehaald voor het weekend, om te voorkomen dat deze misbruikt kunnen worden. Hierdoor kan het dat je van het weekend bepaalde features op het Service Panel, of Control Panel, niet hebt kunnen gebruiken.
We blijven de situatie nauwlettend in de gaten houden
We gaan vandaag uiteraard direct door met dit probleem. Zo zullen we de tijdelijke mitigerende aanpassingen, welke we vrijdag op de Hypernode geplaatst hebben, vervangen met een permanente oplossing. Ook zijn in het weekend patches beschikbaar gekomen voor de delen van onze infrastructuur welke offline gehaald is, welke wij vandaag gaan testen en uitrollen, waarna alle diensten weer beschikbaar zullen zijn.
Ook gaan we vandaag een extra filter op onze WAF plaatsen die dit soort verkeer zal tegenhouden, omdat we van het weekend al gezien hebben dat er enorm veel misbruik binnenkomt met een payload die dit lek tracht te misbruiken. Hoewel deze niet direct gevaar opleveren, leert onze ervaring ons dat er in de dagen na het uitkomen van een lek als dit vaal veel varianten van de payload ontwikkeld worden, waarvan sommige toch bepaalde mitigerende factoren kan omzeilen.
Update 14 December 2021
We hebben op maandag 13 December 2021 mitigerende maatregelen getroffen voor onze interne infrastructuur, en alle diensten welke offline waren weer aangezet. In de loop van de ochtend zal ook het filter op de WAF geplaatst worden.
Hi! Mijn naam is Dion, Account Manager at Hypernode
Wil je meer weten over Hypernode's Managed E-commerce Hosting? Plan je online meeting.
plan een een-op-een meeting tel:+31648362102
