Toen begin december de Apache Log4j vulnerability bekend raakte, was het ook bij BRYXX meteen alle hens aan dek. Nooit eerder kregen we zoveel berichten van bezorgde klanten. Door onze aanpak te automatiseren met Puppet Bolt slaagden we erin tijd te winnen en onze klanten in een recordtempo niet alleen van de nodige info, maar ook van een concrete oplossing te voorzien.
Er komen elke dag vulnerabilities aan het licht, maar het was lang geleden dat er nog een de krant haalde. Begin december maakten we kennis met CVE-2021-44228: een zero-day exploit van een vulnerability op de Apache Log4j 2 Java library, die de hoogste risicoscore meekreeg. Het gevaar was groot en acuut, omdat het heel eenvoudig bleek om de kwetsbaarheid te misbruiken. Bovendien is Apache Log4j een heel populaire Java library, gebruikt als logging framework voor Java in heel wat commerciële producten.
Zodra het nieuws ons bereikte, hebben we bij BRYXX een crisisoverleg opgezet. Dat leidde tot een communicatie- en een actieplan. In de eerste plaats stuurden we een e-mail naar klanten voor wie we managed services uitvoeren. Daarin gaven we enerzijds de nodige uitleg bij het incident, niet alleen algemeen, maar ook specifiek gericht op onze klanten die producten van Oracle en Talend gebruiken die Log4j bevatten. We zorgden daarbij voor een overzicht van workarounds en links naar sites waar klanten de status van de impact konden opvolgen.
Geautomatiseerde aanpak
Tegelijk gingen we ook zelf aan de slag om voor onze klanten de mogelijke impact concreet in kaart te brengen en op te lossen. We zetten hierbij voluit in op automatisering, via de ontwikkeling van scripts voor Puppet Bolt. In eerste instantie ontwikkelden we een script om een lijst op te stellen van de klanten die gebruik maken van de getroffen versies 2.0-beta 9 tot 2.14.1 van Apache Log4j. Klanten die niet op de lijst verschenen, konden we zo al meteen geruststellen. Voor wie wel op de lijst kwam, schreven we een script om automatisch de juiste workaround te implementeren. Tot slot schreven we een derde script om uit te vissen of de geïmpacteerde omgevingen ook effectief waren misbruikt.
Dankzij die scripts konden we op grote schaal en gelijktijdig bij alle klanten de nodige controles uitvoeren en proactief patches installeren. In een volgende stap zullen we de scripts delen op Puppet Forge. Gebruikers van Puppet Remediate krijgen op die manier toegang tot de oplossingen die we bij BRYXX hebben ontwikkeld. Duikt het probleem in de toekomst nog op, dan kunnen die gebruikers onze oplossingen meenemen in hun geautomatiseerd vulnerability management – net zoals wij dat zelf ook doen voor onze klanten. We vinden het belangrijk om onze expertise te delen en op die manier bij te dragen aan een veiligere IT-wereld.