Vrijdag 10 december raakte een nieuwe kwetsbaarheid in de populaire, opensource Apache Log4J-tool bekend. De impact liet zich voelen op internationale schaal. Ook Cipal Schaubroeck maakt gebruik van deze software. Daarom schoten onze cybersecurity teams in gang om applicaties in ons datacenter en lokaal bij klanten te beschermen. Hoe we dat deden, leest u hier.
Wat is Log4Shell?
Log4Shell is de naam voor de recent ontdekte kwetsbaarheid in Log4J, een tool ontwikkeld door de Apache Software Foundation. Daarin ontdekte men een zogenaamde ‘zero day exploit’ die Log4Shell werd gedubd. Door Log4Shell konden hackers commando’s in een applicatie injecteren om zo malware en andere malafide code te laten draaien die schade kon veroorzaken aan uw omgeving.
De impact
Log4J wordt al 20 jaar gebruikt door veel bedrijven om de verschillende acties in hun Java-toepassingen te loggen. Het is bovendien een standaard onderdeel in populaire Java-frameworks. Het gebruik van de tool door ontwikkelaars is dan ook alomtegenwoordig, wat bijdroeg aan de impact van de hack. Heel wat grote namen zoals VMWare, Nutanix, Microsoft, Cisco, Google, Oracle en anderen, meldden dat hun tools kwetsbaar waren en werkten aan een oplossing.
Hoe we bij Cipal Schaubroeck onze klanten beschermden
Ook bij Cipal Schaubroeck hebben we Java-applicaties die gebruik maken van Log4J. Daarom zetten we van zodra we de eerste berichten over deze ‘exploit’ binnenkregen alles op alles om de data en werking van onze klanten te beschermen. Daarvoor hebben we een vaste aanpak die we fijn stellen per kwetsbaarheid en die wordt uitgevoerd door een multidisciplinair team, geleid door ons Security Operations Center (SOC).
Snelle detectie
Vrijdagochtend – slechts enkele uren na het bekend raken van Log4Shell – was ons Security Operations Center al in een staat van verhoogde waakzaamheid. Er werd initieel volop ingezet op detectie van mogelijke aanvallen terwijl de nodige analyses werden gemaakt om de problemen ten gronde aan te pakken. Indien er een hack werd gedetecteerd, kon het SOC-team zo snel mogelijk de beïnvloede systemen isoleren en herstellen om erger te voorkomen.
Beschermen en voorkomen
Tegelijkertijd bekeek het team om zowel aan de infrastructuurkant in ons datacenter als aan de softwarekant Log4Shell een halt toe te roepen. De firewall in het ciPort-datacenter werd snel geüpdatet om dit soort aanvallen te herkennen en te blokkeren. Daarbovenop voegden we een lijst van gekende aanvallers toe om deze tegen te houden. Zo deden we de metaforische deur naar de applicaties in ons datacenter dicht en goed op slot. Ook het verkeer op ons ciPort-netwerk werd gemonitord en beschermd door een web application firewall die geconfigureerd werd volgens best practice richtlijnen. We brachten zo al een eerstelijnsverdediging online tegen vrijdagavond.
Terwijl onze infrastructuurspecialisten het datacenter beveiligden, gingen onze software-experten aan de slag om de kwetsbaarheid uit onze eigen applicaties te halen. Per toepassing werd er een analyse gemaakt. Bleek die hackbaar te zijn, dan werd er ofwel een workaround toegepast ofwel gecodeerd om het gat te dichten. Nieuwe versies van onze software werden daarna in verschillende fasen grondig getest, voor we deze uitrolden naar ons datacenter en de on-premise omgevingen van onze klanten. Die uitrol ging snel; voor één van onze applicaties brachten we op 30 minuten tijd 240 klanten up-to-date. Ook toepassingen van derden die we gebruiken voor onze dienstverlening werden geanalyseerd. Van zodra de leverancier een patch of workaround beschikbaar had, implementeerden we die. Voor de tools waar nog geen update voor beschikbaar is, blijven we alles op de voet volgen.
Hoe we zo snel onze klanten konden beveiligen
Zeer snel nadat Log4Shell werd ontdekt, waren het ciPort-datacenter en alle Cipal Schaubroeck-toepassingen grotendeels beschermd tegen de kwetsbaarheid. Dat is te danken aan onze permanente SOC-dienst die voortdurend waakzaam is voor dit soort gevaren. Het team heeft de mogelijkheid om snel te schakelen en de nodige expertise in te winnen uit de verschillende teams binnen Cipal Schaubroeck. Ze hebben bovendien de nodige noodprocedures klaarstaan bij aanvallen.
Daarnaast wordt onze firewall in het ciPort-datacenter snel bijgewerkt met de laatste nieuwe dreigingen. Aanvallen werden zo in een oogwenk al aan de deur tegengehouden. Dat gaf de software-teams de tijd om de nodige patches voor te bereiden en te implementeren. Automatiseringstools zorgden daarnaast dat deze snel konden uitgerold worden naar lokale omgevingen en ons datacenter. Al deze zaken samen zorgden ervoor dat geen enkele van onze klanten tot nu toe hinder ondervond van deze ‘zero day exploit’.
