Sårbarhet Apache Log4j
Incident Report for Braathe AS
Resolved
De siste dagene har vi fått en bedre oversikt over situasjonen og har gjort nødvendige tiltak som følges opp for kunder. Saker som fortsatt er uavklart blir håndtert løpende i dialog med kunder.
Videre beveger vi oss nå over i en fase hvor vi følger situasjonen nøye og vil redusere kommunikasjon frem til det kommer endringer som er relevant og viktig. Dersom du har spørsmål kan du ta kontakt med din kunderådgiver eller support.
Posted Dec 16, 2021 - 16:11 CET
Monitoring
De siste dagene har vi fått en bedre oversikt over situasjonen og har gjort nødvendige tiltak som følges opp for kunder. Saker som fortsatt er uavklart blir håndtert løpende i dialog med kunder.
Videre beveger vi oss nå over i en fase hvor vi følger situasjonen nøye og vil redusere kommunikasjon frem til det kommer endringer som er relevant og viktig. Dersom du har spørsmål kan du ta kontakt med din kunderådgiver eller support.
Posted Dec 14, 2021 - 16:19 CET
Update
Vi jobber kontinuerlig med sårbarhetskanning og mitigeringstiltak på servere der vi har driftsansvar på applikasjonsnivå. For sårbare servere som ikke er mitigert er det etablert dialog om videre prosess med berørte kunder.

For servere i dedikerte kundemiljøer der vi har driftsansvar på OS nivå, og kunder selv drifter applikasjoner, har vi informert og oppfordret til å gjennomføre sårbarhetsskanning, analyse og nødvendige mitigeringstiltak. Vi har også konsulenter som kan bistå i dette arbeidet i koordinert samarbeid med enkeltkunder.

Vi har også det siste døgnet erfart hva folk der ute lurer på. Det har vi forsøkt å svare på i denne artikkelen: https://bit.ly/3ESZEna. Denne kan også med stor fordel distribueres til sluttbrukere.

Dersom du har spørsmål ta kontakt med support eller din kunderådgiver.
Posted Dec 13, 2021 - 18:23 CET
Update
Vi jobber fortsatt med analyse og hvit-listing av servere. Dersom du har tjenester som er utilgjengelig eller et system hvor sårbarheten er avdekket, ta kontakt med support for videre dialog.

For en bredere forståelse av hva sikkerhetshullet i Apache Log4J betyr har Nasjonal Sikkerhetsmyndighet publisert informasjon som vi oppfordrer til å lese: https://bit.ly/3DKTuE5
Posted Dec 13, 2021 - 11:51 CET
Update
Vi er godt i gang med analyse, og har flere servere uten sårbarhet som er lagt inn i accesslister og er på nett igjen. Situasjonen er fortsatt krevende, og vi jobber videre med klarering og hvit-listing av servere og applikasjoner. Utover dette har vi det siste døgnet hatt 500+ forsøk på å utnytte sårbarheten i våre systemer. Disse forsøkene har blitt stoppet, noe som indikerer at vårt føre var prinsipp har fungert godt. Det viser også at dette er en kritisk sårbarhet vi må ta svært alvorlig for å unngå fatale konsekvenser.
Posted Dec 12, 2021 - 17:06 CET
Update
Det pågår fortsatt arbeid med klarering og hvit-listing av servere og applikasjoner. Support er bemannet frem til klokken 22:00 for å besvare henvendelser som omfatter Apache Log4j. Vi ber om forståelse for at vi fortsatt ikke har alle svarene - og at vi kun bistår med henvendelser som omfatter Apache Log4j.
Posted Dec 12, 2021 - 10:30 CET
Update
Det er observert vellykket utnyttelse i Norge, men omfanget er foreløpig lite og uavklart. Utnyttelseskoden er og har vært tilgjengelig i snart et døgn og det er sannsynlig at angrepene vil utvikle seg og bli mer spisset i tiden som kommer. Det er derfor fortsatt kritisk å kartlegge hvorvidt man er berørt av sårbarheten og iverksetter nødvendige tiltak.

Det pågår fortsatt arbeid med klarering og hvit-listing av servere utover kvelden. Servere med identifisert sårbarhet vil ikke bli satt på nett igjen før det er gjort tiltak i samråd med kunde og/eller software-produsent. Kunder med kritiske tjenester som er tatt av nett kan kontakte support@braathe.no / +47 69013299 for avklaringer og prioritert behandling.
Posted Dec 11, 2021 - 17:46 CET
Update
Tekniske detaljer om sårbarheten og hvilke versjoner av log4j som er berørt kommer fortløpende og gir stadig bedre beslutningsgrunnlag.

Påloggingsløsningen til våre brukertjenester har vært berørt med en kort periode hvor det ikke var mulig å logge på. Det var heller ikke mulig å nå internett via vår publiserte desktop-løsninger. Dette er nå rettet.

Mye ble stengt ned som føre var prinsipp på grunn av lite konkret og sikker informasjon tilgjengelig. Vi jobber fortløpende med å få blant annet nettbutikker operative igjen og alle som baserer seg på Multicase er på vei opp. Øvrig jobber vi kontinuerlig med hvit-listing av alle andre tjenester og servere opp mot stadig ny informasjon som blir tilgjengelig.

Alle henvendelser vedrørende denne konkrete hendelsen kan rettes til vår supportavdeling på 69013299. De er bemannet frem til kl 22 i dag, og fra kl 09 i morgen. Vi ber om forståelse at vi ikke har svar på alle spørsmål som kan komme, og at de ikke kan bistå på henvendelser utover denne hendelsen.
Posted Dec 11, 2021 - 15:33 CET
Update
I denne særdeles alvorlige situasjonen velger vi å stenge internettilgang til applikasjonsservere, webshop og lignende tjenester av føre var hensyn. Vi jobber med å kartlegge servere som har sårbare komponenter installert. Dersom vi, kunden eller kundens programvareleverandør kan bekrefte at server ikke er utsatt (f.eks. ikke har komponenter installert) vil det åpnes igjen for trafikk til server. Vi ber kunder som er rammet av nedstenging ta kontakt med sin programvareleverandør for å få informasjon om sårbarheten påvirker system.
Dersom man mener at system er utenfor fare ber vi om at det sendes inn en forespørsel om åpning til support@braathe.no med angivelse av servernavn, ekstern IP adresse og annen relevant informasjon. Åpningsforespørsel må ha emnefelt "Åpning server ". Åpningsforespørsel må være begrunnet, send gjerne med underlag fra programvareleverandør som underbygger at det er trygt å åpne opp igjen.
Posted Dec 11, 2021 - 10:54 CET
Identified
I løpet av fredag 10.12.2021 er vi varslet fra flere kilder vedrørende sårbarhet CVE-2021-44228 som rammer det Javabaserte loggverktøyet Apache Log4j. Sårbarhet er kritisk (nivå 10.0). Vi henviser til NSM for videre informasjon om sårbarheten:
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/oppdatering-omfattende-utnyttelsesforsok-av-kritisk-sarbarhet-i-apache-log4j

Vi har satt Major Incident Response Team og iverksatt tiltak vedrørende sårbarheten. Tiltakene baserer seg på anbefalinger fra NSM og kan inkludere at kundeservere kobles fra internett inntil videre. Kartlegging, analyse og scanning for kjente elementer i sårbarheten pågår og har høy prioritet. Vi henviser til vår Sikkerhets SLA: https://braathe.no/wp-content/uploads/2021/06/Sikkerhet-SLA-for-Braathe-Gruppen-Tjenester.pdf

Vi oppdaterer saken forløpende.

Ved behov for mer informasjon ta kontakt med Incident Communication Manager: Anders Martinussen Pedersen (anders@braathe.no)
Posted Dec 10, 2021 - 23:02 CET
This incident affected: Driftsstatus - Operational Status and Managed Services.