Update: Apache-lek

Maandag 13 december hebben wij alle gebruikers van onze software geïnformeerd over de waarschuwing van het Nationaal Cyber Security Centrum dat er een lek zit in Apache Log4j2. Dit is software die wereldwijd door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Ook is iedereen geïnformeerd over de genomen en te nemen acties n.a.v. dit Apache-lek in relatie tot GeoWeb, ArcGIS Enterprise, en FME Server. Onze experts en leveranciers hebben niet stilgezeten, daarom ook vandaag weer een update.

Om eventuele problemen te voorkomen, hebben we er maandag voor gekozen om de software die door ons gehost wordt en naar het internet open staat, tijdelijk uit de lucht te halen. Sindsdien is er hard gewerkt aan het doorvoeren van de benodigde aanpassingen om onze omgeving weer veilig online te brengen. In de loop van dinsdag zijn de GeoWeb, ArcGIS en FME diensten weer online gegaan en via het internet beschikbaar.

Woensdag 15 december hebben er drie belangrijke ontwikkelingen plaatsgevonden, waardoor een update van belang is:

  1. Er is een tweede Log4j2 kwetsbaarheid gevonden. In onze adviezen hieronder wordt deze nu ook meegenomen.
  2. Voor ArcGIS software is er een mitigation script / patch uitgekomen, die de kwetsbaarheid wegneemt. Een spoed upgrade is daardoor wellicht niet nodig voor jouw organisatie. Lees hieronder de details en linkjes naar de scripts.
  3. Vanuit Safe Software en Vertigis is een update over de impact van de kwetsbaarheid in de FME en GeoWeb software.

Wat moet je doen als Sweco jullie GIS-diensten host?

De gehoste omgevingen zijn sinds dinsdagmiddag weer online beschikbaar. Gezien de ontwikkelingen omtrent de Log4j2 kwetsbaarheid werkt het hostingbeheerteam op dit moment constant aan het beheer en onderhoud van onze hostingdiensten. Zo ook aan het uitrollen van de ArcGIS mitigation scripts. Houd er als hostingklant rekening mee dat door de beheerwerkzaamheden er mogelijk korte verstoringen kunnen optreden de komende tijd. Als je als gebruiker van onze hosting cloud langdurige problemen ondervindt, neem dan direct contact op met jouw contactpersoon bij Sweco.

Wat moet je doen als je GeoWeb, ArcGIS Enterprise en FME Server zelf host?

Toevoeging 17 december: Safe software stelt voor FME server en desktop 2021.x en nieuwer een patch ter beschikking die een upgrade naar Log4j versie 2.16 doet. Lees hieronder wat voor u van toepassing is en de links naar een uitgebreide uitleg.

We adviseren je om de onderstaande stappen goed door te nemen.

Hieronder is per softwarepakket aangegeven welke versies geraakt worden en welke acties genomen moeten worden.

  • ArcGIS Enterprise / server (advies van Esri):
    – Verschillende ArcGIS Enterprise-componenten bevatten de kwetsbare Log4j2-libary, maar er is geen bekende exploit gevonden voor de versie van de ArcGIS Enterprise-basisimplementatie.
    – Uit voorzorg en veiligheid adviseren we wel met klem om de door Esri beschikbaar gestelde mitigation scripts te draaien op alle ArcGIS Enterprise / Server omgevingen. Voor het downloaden van de scripts en een beschrijving verwijzen we naar deze Link
    – Ondanks dat de mitigation scripts de kwetsbaarheid voorkomen, adviseren wij organisaties die ArcGIS Enterprise / Server versie 10.7.1. of lager gebruiken een plan te gaan maken om te upgraden naar een nieuwere versie.
  • FME desktop (advies van Safe software):
    – FME desktop 2021 en lager worden niet geraakt door de kwetsbaarheid CVE-2021-44228. Er is dan ook geen actie nodig.
    – Vanuit Safe Software wordt er gewerkt aan een nieuwe versie van FME desktop 2021.2.x en 2022.x, waarin de Log4j2 versie een upgrade krijgt. Hier zijn de kwetsbaarheden uit gehaald. Het huidige advies is om deze versies af te wachten en indien mogelijk daar op termijn naar te upgraden.
    – Als er binnen jouw organisatie toch onzekerheid heerst over de huidige versie die in gebruik is, dan kan de kwetsbaarheid worden voorkomen door het verwijderen van de log4j-*.jar files of het upgraden van de Log4j-versie naar 2.16. Bekijk deze link voor de instructies voor deze actie: Link
  • FME Server (advies van Safe software):
    – FME Server Engines 2021 en lager worden niet geraakt door de kwetsbaarheid CVE-2021-44228. Er is dan ook geen actie nodig.
    – Vanuit Safe Software wordt er gewerkt aan een nieuwe versie van FME server 2021.2.x en 2022.x, waarin de Log4j2 versie een upgrade krijgt. Hier zijn de kwetsbaarheden uit gehaald. Deze zal naar verwachting in de loop van januari 2022 beschikbaar komen.
    – Als er binnen jouw organisatie toch onzekerheid heerst over de huidige versie die in gebruik is, dan kan de kwetsbaarheid worden weggenomen door het verwijderen van de log4j-*.jar files of het upgraden van de Log4j-versie naar 2.16. Bekijk deze link voor de instructies van deze actie: Link
  • GeoWeb / GeoWeb Modules / Analytics (advies van Vertigis)
    – Uit het onderzoek van de GeoWeb producten komt naar voren dat de Log4j2 versie die kwetsbaar is, niet gebruikt wordt in de GeoWeb producten. Zodoende is er ook geen risico m.b.t. deze kwetsbaarheid en is een patch niet nodig. Hoewel GeoWeb niet kwetsbaar is, dient de onderliggende ArcGIS software met versie 10.7.1 en lager wel veilig gemaakt te worden. Voor meer informatie hierover zie de berichtgeving van Esri.
    – Het gebruik van een oudere Log4j versie, en de mogelijke risico’s hiervan zijn door Vertigis (producent van GeoWeb) ook uitgebreid onderzocht. Hieruit komt naar voren dat er geen kwetsbaarheden zijn voor de GeoWeb software. Ook alle andere software waaronder de GeoWeb modules zijn in dit onderzoek meegenomen.

Veel organisaties maken gebruik van appliances (Web Application Firewall) voor de externe ontsluiting. Deze partijen zijn ook druk aan het werk om patches uit te brengen, die de achterliggende software beschermen tegen de exploit. We adviseren dan ook om de berichtgeving hierover in de gaten te houden en indien beschikbaar door te voeren.

Meer informatie

Meer informatie over de kwetsbaarheid en het bijbehorende advies is te vinden op de website van het National Cyber Security Centrum.

We houden je op de hoogte

Zodra er meer bekend is, zullen we je via nieuwsberichten op deze website op de hoogte houden. Of je Sweco adviseur neemt direct contact met je op.

Houd onze berichtgeving in de gaten. Heb je nog specifieke vragen? Neem dan contact op met de helpdesk: helpdesk.gis-ict@sweco.nl of +31 800-022 44 01 of met jouw Sweco adviseur.