Er zit een ernstige kwetsbaarheid in Apache Log4j. De kwetsbaarheid heeft inmiddels de naam ‘Log4Shell’ gekregen. De risicoclassificatie, ook wel bekend als de CVSS-score, is ongewijzigd: 10. Dit is de hoogst mogelijke classificatie binnen de schaal.
De uitdaging zit in het feit dat Java net als suiker overal in zit. Java wordt in combinatie met Log4J veel gebruikt als basis of als bouwsteen. Veel verschillende applicaties van verschillende vendors zijn hierdoor mogelijk kwetsbaar. Het updaten van software is altijd belangrijk, alleen nu is de druk wel extra groot.
Wat is Log4j
Apache Log4J betreft een Java library en biedt een log framework voor toepassingen gebaseerd op Java. Zowel Java als de Log4J library worden veel gebruikt in softwaretoepassingen en -services wereldwijd. Door de kwetsbaarheid kunnen cybercriminelen controle krijgen over het systeem dat de Java gebaseerde applicaties host. In vaktermen wordt dit een ‘Unauthenticated Remote Code Execution’ genoemd.
Uitbuiting van de kwetsbaarheid is relatief eenvoudig. De kwetsbaarheid kan worden getriggerd, wanneer een applicatie de inhoud van een invoerveld wegschrijft in een logevent met behulp van de Log4J library. Bijvoorbeeld een loginscherm van een applicatie, waarbij de username wordt weggeschreven als logevent bij een foutieve loginpoging. Daarmee is het invoerveld ‘username’ bruikbaar voor een aanvaller. Dit is niet beperkt tot het invoerveld ‘username’, maar alle invoervelden in een applicatie. Een cybercrimineel kan deze kwetsbaarheid alleen misbruiken wanneer deze toegang heeft tot de applicatie. Applicaties direct ontsloten op het internet lopen hierdoor een groot risico.
Cybercriminelen scannen actief
Volgens het NCSC wordt er actief gescand naar de kwetsbaarheid. Het is daarom een kwestie van tijd tot deze daadwerkelijk gaat worden misbruikt. Momenteel wordt er door zowel cybersecuritybedrijven als cybercriminelen actief gescand op het internet naar kwetsbare systemen. Hierbij hebben sommige cybercriminelen voor specifieke applicaties reeds uitgevonden hoe de kwetsbaarheid kan worden uitgebuit. Dit is echter per applicatie anders.
Niks doen is geen optie. Controleer zo snel mogelijk welke systemen kwetsbaar zijn. Controleer uw omgeving op afwijkende uitgaande verbindingen, niet legitieme configuratiewijzigingen, niet legitieme nieuwe useraccounts of afwijkende systeemprocessen. Installeer de update! Wanneer dat niet lukt, pas dan de mitigerende maatregel toe. Zie voor meer informatie de liveblog van Tesorion.
(Dit artikel verscheen eerder in ITchannelPRO magazine nummer 5)