GX Support
Nederlands English (US)

Artikelen in deze sectie

Zie meer

Kwetsbaarheid in Spring core (Spring4Shell)

Avatar
Remco de Waard
  • Bijgewerkt
Volgen

Conclusie van onderstaande

De volgende maatregelen zijn getroffen sinds 5 april 23:06 (geldend voor Productie installaties die bij GX in de cloud draaien):

  • Alle Productie installaties zijn voorzien van een patch. Deze patch dicht de kwetsbaarheid zoals deze tot nu bekend is;
  • Daarnaast is er code toegevoegd aan de apache configuratie op de frontend server(s). Deze code blokkeert verzoeken naar "/web/mvc" (het gedeelte waar de kwetsbaarheid in zit);
  • Tenslotte is de webserver Tomcat geüpdatet naar de nieuwste versie (9.0.62). In deze versie is eveneens een security aanpassing doorgevoerd in het kader van het Spring Framework.

Er zijn geen situaties bekend waarin misbruik is gemaakt van de kwetsbaarheid. 

Veiligheid van de software heeft bij GX de hoogste prioriteit. De recente melding over de kwetsbaarheid die in Spring4Shell op woensdag 30 maart geconstateerd is (https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-22965) heeft onze productgroep dan ook vlot bereikt. Vanaf dat moment startte we de controle of er impact voor XperienCentral was en, indien dat het geval is, op welke manier we zo snel mogelijk ondersteuning kunnen bieden. 

Updates volgen op deze pagina en vragen zijn te stellen via het gebruikelijke kanaal van Customer Services

Achtergrond

Er is een kwetsbaarheid gesignaleerd in de "Spring core". Die functionaliteit stelt ons in staat om "een command line (shell) applicatie te bouwen met gebruikmaking van het Spring framework". Dit Spring framework is een onderdeel van XperienCentral. In de media is deze kwestie gedoopt tot Spring4Shell.

Op dit moment onderzoeken we of dit impact voor XperienCentral heeft.

De website van het Nationaal Cyber Security Centrum heeft een pagina opgesteld met diepgaande achtergrondinformatie: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0221

Update donderdag 31 maart 09:15

Start van dit artikel. Via deze pagina houden we je op de hoogte van ons onderzoek, resultaten, aanbevelingen en handelingen.

Update 10:04

Het lijkt erop dat de Spring core functionaliteit beperkt gebruikt wordt in de backend (de redactie-omgeving, die standaard sterk is afgeschermd is van de buitenwereld).

Dat betekent tot nu toe dat de frontend (de kant die de websitebezoekers zien) geen impact ondervindt van deze kwetsbaarheid. 

Update 11:42
Het afgelopen uur heeft ons product team gepoogd om zelf 'gebruik' te maken van de kwetsbaarheid van XC (het uitvoeren van de exploit). De eerste geruststellende constatering is dat het ons zelf -op het moment van schrijven- nog niet gelukt is om een scenario te vinden waarin de kwetsbaarheid eenvoudig te misbruiken valt, ondanks onze uitgebreide kennis van de opgebouwde beveiligingslagen van XperienCentral.
Update 13:56

In tegenstelling tot het bericht van 10:04 is de kwetsbaarheid eveneens aanwezig op de frontends (het systeem dat de website bezoekers zien).

  • Maak je gebruik van XC R33 (of nieuwer) is er minder risico risico omdat er vanaf die versie een extra security filter opgenomen is.
  • Maak je gebruik van een release van R32 of ouder, dan geldt nog steeds bescherming van een security filter, hetzij een oudere variant. Een kwaadwillende heeft hier een kleine voorsprong ten opzichte van R33 of hoger. 

Mocht een kwaadwillende bovenstaande beveiligingsmechanismen weten te omzeilen, dan lijkt het op het moment van schrijven dat de kwetsbaarheid nog steeds niet te misbruiken valt, omdat de interne werking van XC in dit geval afwijkt van de standaard.

Update 14:02

Codewijzigingen voor een patch zijn eind van de ochtend intern beschikbaar gesteld.

Update 15:09
Tot op heden is de Productgroep niet in staat geweest om om de kwetsbaarheid te misbruiken op XperienCentral. Dat is een geruststellend signaal. We sorteren echter wel voor op het pro-actief patchen van de kwetsbaarheid met het volgende proces:
  • Toekomstige XC releases bevatten uiteraard standaard een patch voor Spring4Shell. 
  • Voor XC installaties die bij GX in de cloud opereren geldt:
    • Uiterlijk dinsdag 5 april zijn deze installaties gepatcht. Dit geschiedt in de avonduren en levert een enkele minuut downtime zodat hinder tot een minimum beperkt blijft. 
    • Schikt dinsdag 5 april om moverende redenen niet, dan is de eerstvolgende mogelijkheid op 19 april (conform onderhoudsplanning). 
    • Schikt ook dit moment niet, neem dan contact met ons op via Customer Services, dan zoeken we samen naar een oplossing. 
    • Mocht (nav. het lopende onderzoek en onze tests) de risico-inschatting zich negatief ontwikkelen, dan bespoedigen we uiteraard deze tijdlijnen en handelen we dienovereenkomstig. 
  • Opereert je XC installatie niet in de GX cloud, dan neemt Customer Services zo snel als mogelijk contact op met het advies om een patch te plaatsen. Dit zijn werkzaamheden die GX kan verrichten wanneer GX toegang heeft tot de infrastructuur. In het geval GX geen rechten heeft (en ook niet kan krijgen) om deze werkzaamheden uit te voeren, dan leveren we de patch, uiteraard samen met een begeleiding hoe deze te plaatsen valt. 

Update 15:24

We controleren of het mogelijk is om monitoring zodanig in te richten zodat deze functionaliteit bijdraagt in het constateren van misbruik van deze kwetsbaarheid. 

Update 17:44

Customer Services is gestart met het benaderen van alle contactpersonen om de taken uit te voeren die horen bij de update van 15:09

Update 22:03

Customer Services heeft een groot gedeelte van hun contactpersonen benaderd met informatie. Heb je nog geen aanvullende informatie en wil je dit om redenen snel(ler) ontvangen, zoek dan contact via Customer Services.

Update vrijdag 1 april 08:00

De Productgroep continueert samen met systeembeheer de zoektocht naar een mogelijkheid om de kwetsbaarheid te misbruiken op een eigen omgeving. Alles wordt uit de kast getrokken om definitief te kunnen garanderen dat XC (met of zonder patch) geen risico loopt. 

Update 10:39 

Tot op heden zijn er geen manieren gevonden om misbruik te maken van de kwetsbaarheid binnen XC. Onze architecten zijn samen met de Productgroep de eerder benoemde patch die het risico verkleint aan het door-testen, evalueren en perfectioneren.

Update 13:07

Bij de Spring4Shell kwetsbaarheid wordt meestal JDK9+ genoemd als voorwaarde. Dit impliceert dat de kwetsbaarheid is geïntroduceerd in Java 9, waardoor Java 8 per definitie niet vatbaar is. Uit onderzoek blijkt echter dat voor de kwetsbaarheid van XperienCentral het niet uitmaakt of de omgeving op Java 8, Java 9 of een hogere versies draait.
 
Om veiligheidsredenen worden er in dit artikel geen details gepubliceerd wat betreft de specifieke kwetsbaarheid in de hogere Java versies. Concluderend adviseren we ook voor omgevingen die op Java 8 draaien om de eerder genoemde patch uit te (laten) rollen.

Update 14:12

Op XC instanties R23 en ouder kan een onderdeel van de patch niet toegepast worden omdat een security filter in deze versies nog niet beschikbaar is. Deze versies vallen buiten het onderhoudswindow en daardoor moet GX aparte patches opleveren die eveneens bij Customer Services aan te vragen zijn. Neem in dit geval contact op met Customer Services voor meer informatie en verdere afstemming.

Update maandag 4 april 09:42

Tomcat (de webserver die veelal ingezet wordt) heeft een nieuwe versie uitgebracht met daarin een security fix voor Spring4Shell. Daarnaast valt uit de release notes op te maken dat de huidige aanpassing (ook los van de kwetsbaarheid zoals die nu bekend is) een belangrijke  wijziging is om door te voeren. Het advies van Tomcat zelf is dan ook om te upgraden. Vandaag testen wij of er impact is voor deze Tomcat upgrade.

Update 13:36

Het lijkt erop dat er geen impact is voor een Tomcat upgrade. Het is intussen bekend dat versie 8.0.13 de 'onveilige' Tomcat betreft. We raden alle organisaties aan (die de hosting zelf regelen) om te upgraden naar minimaal Tomcat 8.5.87.

Update 14:13

Het upgraden van Tomcat staat op onze lijst om door te voeren voor alle installaties die bij ons in de cloud opereren (en uiterlijk dinsdag 5 april gepatcht worden). 

Update dinsdag 5 april 08:36

Deze ochtend controleren onze patch op interne testomgevingen -voor installaties die in de GX cloud opereren-. Elke installatie wordt handmatig getest en de resultaten worden geborgd. We controleren highlevel:

  • Lukt het inloggen op XperienCentral zoals bedoeld?
  • Is alles gestart volgens het Plugins Panel?
  • Werkt het aanmaken van een pagina + artikel onder "losgeknipt".
    • Is die pagina aan te passen en te verwijderen? 
  • De logbestanden; is alles correct gestart en zijn er geen nieuwe opvallende meldingen?

Update 12:55

Deploys met patches zijn getest op interne testomgevingen (in combinatie met een geüpgradede Tomcat) en akkoord bevonden. Er zijn geen signalen die hinten naar een uitstel van het patchen. Volgens planning zijn uiterlijk vanavond alle installaties die in de GX cloud opereren gepatcht. Voor installaties die in een eigen hosting omgeving draaien geldt dat Customer Services samenwerkt om zo snel mogelijk een gepatchte deploy aangeleverd te krijgen of zelfstandig (in overleg) te plaatsen. 

Update 14:34

Customer Services heeft alle contactpersonen geinformeerd over de plannen van een patch, met daarbij tekst en toelichting over de Spring core kwetsbaarheid en hoe GX hier naar handelt om de impact beperkt te houden. Concreet:

On premise

Beheer je de XperienCentral hosting zelf (on premise) -of beheert een derde partij de installatie- dan heeft:

    • Customer Services je intussen benaderd met een actieplan. Mocht dat onverhoopt niet het geval zijn, zoek dan direct contact met Customer Services;
    • óf een GX-er uit je scrumteam (Technical Consultant, Architect of Business Consultant) begeleidt dit onderwerp vanuit GX.

De snelheid van dit proces verschilt. Het kan binnen enkele uren geregeld zijn, maar (afhankelijk van communicatiestroomlijnen, hiërarchie of gestelde change-windows)  kan ook een aantal dagen duren.

XC in de Cloud

Gebruik je XperienCentral in de GX cloud, dan beschik je vanaf morgenochtend vroeg over een gepatchte installatie, met een geüpgradede Tomcat versie. Dit is een snel proces waarbij weinig inmenging en afstemming nodig is, omdat GX zelf de patcht/deploy verzorgt, de communicatie intern stroomlijnt en GX-ers zelf de hosting beheren. 

Update 14:53

Op het moment dat alle cloud installaties succesvol gepatcht zijn, vindt een afmelding van het issue plaats via Customer Services. Eveneens wordt er op deze pagina een melding gemaakt van de laatste status. 

Update 23:06

Alle Cloud installaties zijn gepatcht.

Update woensdag 6 april 07:56

De patches van gisterenavond hebben unaniem positieve effecten gehad. Mocht je gedurende deze dag toch merken dat er iets 'anders' is dan dat je verwacht, zoek dan direct contact met Customer Services; we controleren per ommegaande de status.

Update 11:50 - slot update

Hieronder volgt een opsomming van de genomen mitigerende maatregelen die sinds gisterenavond gelden voor de Productie installaties die bij GX in de cloud draaien:

  • Alle Productie installaties zijn voorzien van een patch. Deze patch dicht de kwetsbaarheid zoals deze tot nu bekend is;
  • Daarnaast is er code toegevoegd aan de apache configuratie op de frontend server(s). Deze code blokkeert verzoeken naar "/web/mvc" (het gedeelte waar de kwetsbaarheid in zit);
  • Tenslotte is de webserver Tomcat geüpdatet naar de nieuwste versie (9.0.62). In deze versie is eveneens een security aanpassing doorgevoerd in het kader van het Spring Framework.

 Zoals gemeld in eerdere berichten zijn deze wijzigingen gisterenmiddag op testomgevingen al getest en  doorgevoerd.

Bovenstaande aanpassingen staan in lijn met ons streven om de veiligheid van de omgevingen zo goed mogelijk te waarborgen, zelfs in deze specifieke situatie waarbij het nog niemand gelukt is om misbruik te maken van de betreffende kwetsbaarheid. 

Deze security-incidentpagina is hiermee gesloten. Voor vragen is Customer Services (en elke willekeurige GX-er) uiteraard bereikbaar.

Woensdag 6 april 13:46

Security-incident pagina gesloten

Verwante artikelen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.