Apache log4j v2 kwetsbaarheid KPN modem

Hallo @Oppersjaak 

Je kan je KPN modem niet zelf updaten. Als het hiervoor nodig is zal KPN dat (moeten) doen.

Maakt KPN Box 12 gebruik van log4j?

En zo ja, heeft KPN al actie ondernomen en zijn bijvoorbeeld de modems al ge-update?

Kan KPN reageren op de vraag of hun producten (Experia Box KPN Backup Online etc) beschermt zijn tegen de Log4shell / Log4J vulnerability?

is de log4j security bug https://www.cve.org/CVERecord?id=CVE-2021-44228 ook van toepassing op de experiabox?

Admin: samengevoegd met ander topic hierover

Dag allen, ik snap heel goed dat jullie vragen hebben naar aanleiding van het nieuws over een kritieke kwetsbaarheid in Apache Log4j die het mogelijk maakt om 'willekeurige code uit te voeren'. Die kwetsbaarheid zit in een codebibliotheek die gebruikt wordt voor het verwerken van logs. Nu hebben Experia Boxen logs, dus het is mogelijk dat zij die kwetsbaarheid ook hebben als ze gebruik maken van een van de genoemde versies van die codebibliotheek. Maar of dat inderdaad zo is, durf ik niet te zeggen. Ik ga dit uiteraard navragen bij ons security team en kom hier zo snel mogelijk op terug.

In de tussentijd raad ik jullie aan om zo snel mogelijk te upgraden naar Log4j versie 2.16.0 (of hoger als van toepassing). Mocht je Log4j v2.09b6 of een hogere versie hebben en niet kunnen upgrade, dan zijn er aantal maatregelen mogelijk die als tijdelijke/beperkte mitigatie kunnen dienen:

• Stel de eigenschap in: log4j2.formatMsgNoLookups=true
• Aanvullend kan een omgeving variabel gezet worden voor dezelfde besmette versies: LOG4J_FORMAT_MSG_NO_LOOKUPS=true
• Haal JndiLookup class van de classpath weg:
  • via opdrachtprompt: zip -q -d log4j-core-*.jar
  • via verkenner: org/apache/logging/log4j/core/lookup/JndiLookup.class
  • Let op! Het weghalen van classes van de classpath kan ervoor zorgen dat de werking van de applicatie breekt. Dus wees voorzichtig met het toebrengen van deze mitigatie en hou alle operationele systemen onder verhoogde monitoring als dit gedaan is

Wat bedoelt u hier mee?

Hallo @Denise_ , is dat DHZ-werk? Want ik weet niet eens waar men het over heeft in detail, in grote lijnen begrijp ik e.e.a. wel, maar ik zou niet weten waar ik moet zijn om zo'n update bestand op te halen en dat in mijn modem te plaatsen.

HALLO KPN!

Kom eens met antwoorden.

Ik wil weten of de Log4j kwestbaarheid in die bagger Box 12 zit.

Zo ja, wanneer gaan we patchen?!

Oh ja, als er patch komt, niet de 448 versie installeren!

Dat is een groot drama, roll-back naar SGEJ10000312 draait hier niet voor niets!

Ik zou willen dat ik jullie al meer informatie kon geven, maar ik weet dit ook niet. Ik ga hierover uiteraard navraag doen en kom zo snel mogelijk bij jullie terug.

Om jouw vraag te beantwoorden, @Nick83: Ik moet je dit antwoord verschuldigd blijven. Dit betreft een algemeen advies en heeft verder niets met onze (Experia) Boxen te maken. Ik weet het fijne hier verder ook niet van, sorry. 

@Denise_ Ik snap dat je ingehuurd bent om dit forum te moderaten en vertrouw erop dat je veel voorkomende vragen kunt beantwoorden. Je doet je best en stelt je kwetsbaar op, dat valt te prijzen.

Maar (neem dit niet persoonlijk op) jouw/KPN’s antwoorden zijn volstrekt onvoldoende en ver beneden de maat. De door jou/KPN gegeven ‘maatregelen’ (jouw bericht van 9u geleden) slaan als een tang op een varken, dat blijkt wel uit de vragen die het oproept.

De kwetsbaarheid waar het hier om gaat heeft (wereldwijd) een enorme impact en de vragen die hier gesteld zijn, zijn daarom reeel en urgent. De onzekerheden en de urgentie vragen om snelle antwoorden voor klanten zoals wij allemaal die (fors) betalen voor de diensten van KPN. Het kan niet zo zijn dat jullie security team deze vragen blijft negeren (de eerste vraag in dit topic is van 2 dagen geleden!), hoe druk ze het ook hebben. Hoe moeilijk is het om duidelijkheid te geven: zijn de modems kwetsbaar ja/nee en hoe kan dit z.s.m. gerepareerd worden?

• Zijn de KPN-modems kwetsbaar? Zo ja, welke modellen?
• Wanneer zijn de antwoorden van jullie security team te verwachten?
• Wanneer worden de modems gepatcht (indien nodig)?
• Wat kunnen we in de tussentijd zelf doen om zo min mogelijk kwetsbaar te zijn?

Dankjewel voor jullie snelle reactie. Anton.

Nog een vraag in dit kader @Denise_ :

Heeft het zin om zelf de logfiles van het modem door te nemen?

Ik heb ze zojuist bekeken (vanaf ca. 10 dec. jl.) en zie geen vreemde dingen. Maar wellicht zie ik iets over het hoofd.

Dank, Anton.

We snappen jullie zorgen en vragen erg goed @Jorodin. Om ervoor te zorgen dat we geen onwaarheden/halve antwoorden geven, hebben we alle vragen die in dit topic gesteld zijn (en gaan worden) doorgestuurd naar de collega's die de communicatie omtrent dit probleem verzorgen. Zij kunnen ons voorzien van de juist en meest relevante informatie. Mijn collega Denise heeft vanmiddag bevestiging gekregen dat er zo snel mogelijk een inhoudelijke reactie komt. Weet dat KPN dit probleem heel serieus neemt. Zodra wij deze binnen hebben, delen we dit natuurlijk meteen met jullie!

Beste KPN, 

ik ben super tevreden over mijn KPN aansluiting en normaal gesproken ook over de service en de snelheid van handelen maar hier laten jullie toch echt een steekje vallen in mijn ogen. 12 uur geleden schreven jullie dat er zo snel mogelijk een inhoudelijke reactie komt. Als ik dit naar mijn klanten meld dan is 12 uur niet zsm.

Ik had ondertussen toch wel een melding op kpn.com verwacht of in mijn mailbox.

En nogmaals ik ben zeer tevreden over KPN

Groeten,

Frank

Beste KPN,

Mijn werkgever geeft aan dat indien nodig zo snel mogelijk de router ge-update zou moeten worden omdat men geen extra risico wil via de externe (VPN) verbinding. Nu we weer met velen thuiswerken zou ik verwachten dat de antwoorden en (liever nog) de acties van KPN wat sneller en adequater zouden zijn.
Wanneer komen jullie met een zinvolle inhoudelijke reactie.

Groet,
Jean-Paul

Zodra wij een statement hebben zullen we deze hier met jullie delen. Onze collega's zijn hier druk mee bezig.

Het statement is er:

Fantastisch nieuws. Bedankt voor de reactie

Goed om te horen bedankt!

Mooi, waar gebruikt logging op de V.10 (of andere) dan wel van, als het geen log4J is?  

Dat is goed nieuws Thomas. Dank voor je reactie 

Goed nieuws, maar voor de volledigheid toch even de vraag of je letterlijk alleen modems bedoelt, of ook access points, repeaters en andere randapparatuur van KPN.

Persoonlijk vind ik dit een nogal verontrustend antwoord. De formulering suggereert dat de Experia/KPN Box en/of andere apparatuur van KPN wel de kwetsbaarheid bevat en alleen dat is al reden genoeg om daar helder en duidelijk over te communiceren. Als je schrijft dat er tot dusver geen misbruik aangetoond is, dan suggereer je daarmee dat dat wel mogelijk had kunnen zijn en dat de kwetsbaarheid dus aanwezig is. Als dat zo is dan ben ik van mening dat wij als abonnee recht hebben om dat te weten opdat wij passende maatregelen kunnen treffen.

Dit noemen we een ontwijkend antwoord. De conclusie lijkt dat de log4J2 vulnerability NIET van toepassing is op jullie modems, maar WEL op andere randapparatuur van KPN zoals access points en repeaters. Misschien goed om dat te delen via social media?

Ik suggereer niets. Ik heb er alle vertrouwen in dat KPN momenteel al het nodige doet om ervoor te zorgen dat klanten veilig gebruik kunnen blijven maken van onze diensten. 

Zoals je hebt kunnen lezen is Log4J2 een wereldwijd probleem en wordt het in heel veel devices gebruikt. Zoals ik hierboven aangeef doen we over specifieke apparatuur geen concrete uitspraken.