Een zeer ernstige fout in Apache Log4j, genaamd Log4Shell, is nu de meest spraakmakende beveiligingskwetsbaarheid op internet geworden met een ernstscore van 10/10. Log4j is een open-source Java-bibliotheek voor het loggen van foutmeldingen in applicaties, die veel wordt gebruikt door talloze technologiebedrijven.
Voortaan lijden de diensten van grote technologiebedrijven momenteel aan wat beveiligingsexperts een van de meest kritieke tekortkomingen in de recente geschiedenis noemen. Deze fout kan hackers onbeperkt toegang geven tot computersystemen.
Volgens het recente rapport van Microsoft proberen al minstens een dozijn groepen aanvallers de fout te misbruiken om systeemreferenties te stelen, cryptominers op gevoelige systemen te installeren, gegevens te stelen en dieper te graven in gecompromitteerde netwerken.
De fout is zo ernstig dat de cyberbeveiligingsdienst van de Amerikaanse regering een dringende waarschuwing heeft afgegeven aan alle kwetsbare bedrijven en heeft voorgesteld om onmiddellijk effectieve maatregelen te nemen. Ontdek alles over deze “Zero-day-kwetsbaarheid – Log4j” in detail en hoe u zich ertegen kunt beschermen.
Update: Tweede Log4j-kwetsbaarheid ontdekt; Patch uitgebracht
Dinsdag werd een tweede kwetsbaarheid ontdekt met betrekking tot de Apache Log4j. Dit komt nadat de cyberbeveiligingsexperts dagen hadden besteed aan het patchen of beperken van de eerste. De officiële naam van deze kwetsbaarheid is CVE 2021-45046.
In de beschrijving staat dat “de oplossing om CVE-2021-44228 aan te pakken in Apache Log4j 2.15.0 onvolledig was in bepaalde niet-standaardconfiguraties. Dit zou aanvallers in staat kunnen stellen om schadelijke invoergegevens te vervaardigen met behulp van een JNDI Lookup-patroon, wat resulteert in een denial of service (DOS)-aanval”
Afbeeldingsbron: ESET
Het goede is dat Apache al een patch heeft uitgebracht, Log4j 2.16.0, om dit probleem aan te pakken en op te lossen. De nieuwste patch lost het probleem op door de ondersteuning voor opzoekpatronen van berichten te verwijderen en de JNDI-functionaliteit standaard uit te schakelen.
Wat is Log4j-kwetsbaarheid?
De Log4j-kwetsbaarheid, ook wel Log4Shell genoemd, is een probleem met de Logj4 Java-bibliotheek waarmee uitbuiters “willekeurige code” kunnen controleren en uitvoeren en toegang krijgen tot een computersysteem. De officiële naam van deze kwetsbaarheid is CVE-2021-44228.
Log4j is een open-source Java-bibliotheek, gemaakt door Apache, die verantwoordelijk is voor het bijhouden van alle activiteiten in een applicatie. Softwareontwikkelaars gebruiken het op grote schaal voor hun toepassingen. Daarom zijn zelfs de grootste technologiebedrijven zoals Microsoft, Twitter en Apple momenteel vatbaar voor aanvallen.
Hoe werd Log4j Vulnerability ontdekt of gevonden?
De kwetsbaarheid Log4Shell (Log4j) werd voor het eerst ontdekt door onderzoekers van LunaSec in Minecraft, eigendom van Microsoft. Later realiseerden de onderzoekers zich dat het geen Minecraft-glitch was en LunaSec waarschuwde dat “veel, veel services” kwetsbaar zijn voor deze exploit vanwege Log4j’s “alomtegenwoordige” aanwezigheid
Sindsdien zijn er veel rapporten binnengekomen die het een van de ernstigste fouten van de afgelopen tijd noemen, en een fout die het internet nog jaren zal beïnvloeden.
Wat kan Log4j Vulnerability doen?
De Log4j-kwetsbaarheid kan volledige toegang tot het systeem verlenen aan hackers/aanvallers/exploiters. Ze hoeven alleen maar een willekeurige code uit te voeren om onbeperkte toegang te krijgen. Door deze fout kunnen ze ook volledige controle over de server krijgen wanneer ze het systeem correct manipuleren.
De technische definitie van de fout in de CVE-bibliotheek (Common Vulnerabilities and Exposures) stelt dat “een aanvaller die logberichten of logberichtparameters kan controleren, willekeurige code kan uitvoeren die is geladen vanaf LDAP-servers wanneer het opzoeken van berichten is ingeschakeld.”
Daarom staat het internet in de hoogste staat van paraatheid, aangezien de uitbuiters voortdurend proberen zwakke systemen aan te vallen.
Welke apparaten en applicaties lopen risico op Log4j-kwetsbaarheid?
De Log4j-kwetsbaarheid is ernstig voor elke oplichter die Apache Log4J-versies 2.0 tot 2.14.1 gebruikt en toegang heeft tot internet. Volgens NCSC bevatten Apache Struts2-, Solr-, Druid-, Flink- en Swift-frameworks de affectieversies (Log4j versie 2 of Log4j2).
Dit brengt een enorm aantal services met zich mee, waaronder die van de technische reuzen zoals Apple’s iCloud, Microsoft’s Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, enz.
Waarom is deze kwetsbaarheid zo ernstig en is het zo moeilijk om ermee om te gaan?
Deze kwetsbaarheid is zo ernstig dat hackers meer dan 100 keer per minuut proberen de ernstig zwakke systemen te misbruiken met behulp van de Apache Log4j2. Dit brengt miljoenen bedrijven in gevaar voor cyberdiefstal.
Volgens de rapporten, alleen in India, heeft deze fout 41% van de bedrijven het risico van hacks opgeleverd. Het Check Point Research heeft gezegd dat het meer dan 846.000 aanvallen heeft gedetecteerd die misbruik maken van de fout.
Kryptos Logic, een beveiligingsbedrijf, heeft aangekondigd dat “het meer dan 10.000 verschillende IP-adressen heeft ontdekt die het internet scannen, en dat is 100 keer zoveel als het aantal systemen dat zoekt naar LogShell.”
Deze kwetsbaarheid is zo groot vanwege het feit dat Apache de meest gebruikte webserver is en Log4j het populairste Java-logboekpakket. Het heeft alleen al meer dan 400.000 downloads van de GitHub-repository.
Hoe blijf je beschermd tegen de Log4j-kwetsbaarheid?
Volgens de laatste gebruikers patcht Apache de problemen voor iedereen op Log4j 2.15.0 en hoger, omdat ze het gedrag standaard uitschakelen. Experts proberen voortdurend af te wegen hoe ze het risico van deze dreiging kunnen minimaliseren en de systemen kunnen beschermen. Microsoft en Cisco hebben ook adviezen voor de fout gepubliceerd.
LunaSec heeft gezegd dat “Minecraft al heeft verklaard dat gebruikers de game kunnen updaten om problemen te voorkomen. Andere open-sourceprojecten zoals Paper brengen ook patches uit om het probleem op te lossen.”
Cisco en VMware hebben ook patches uitgebracht voor hun getroffen producten. De meeste grote technologiebedrijven hebben het probleem nu publiekelijk aangepakt en beveiligingsmaatregelen aangeboden voor hun gebruikers en werknemers. Ze moeten ze gewoon strikt volgen.
Wat zeggen de experts over de Log4j-kwetsbaarheid?
De Log4j-kwetsbaarheid heeft de systeembeheerders en beveiligingsprofessionals het afgelopen weekend voor de gek gehouden. Cisco en Cloudflare melden dat de hackers sinds begin deze maand misbruik maken van deze bug. De aantallen namen echter drastisch toe na de onthulling door Apache op donderdag.
Gewoonlijk behandelen de bedrijven dergelijke gebreken privé. Maar het bereik van de impact van deze kwetsbaarheid was zo groot dat bedrijven het publiekelijk moesten aanpakken. Zelfs de cyberbeveiligingsafdeling van de Amerikaanse regering heeft een ernstige waarschuwing afgegeven.
Op zaterdag zei Jen Easterly, de directeur van het Amerikaanse Cybersecurity and Infrastructure Security Agency, dat “de kwetsbaarheid al wordt gebruikt door een ‘groeiende groep bedreigingsactoren’. Deze fout is een van de ernstigste die ik in mijn hele leven heb gezien. carrière, zo niet de meest serieuze.”
Chris Frohoff, een onafhankelijk beveiligingsonderzoeker, zegt: “Wat vrijwel zeker is, is dat mensen jarenlang de lange staart van nieuwe kwetsbare software zullen ontdekken terwijl ze nieuwe plaatsen bedenken om exploitstrings te plaatsen. Dit zal waarschijnlijk nog lang naar voren komen in assessments en penetratietesten van op maat gemaakte enterprise-apps.”
De experts zijn van mening dat hoewel het belangrijk is om je bewust te zijn van de aanstaande blijvende impact van de kwetsbaarheid, de eerste prioriteit moet zijn om nu zoveel mogelijk actie te ondernemen om de schade te beperken.
Aangezien de aanvallers nu op zoek gaan naar creatievere manieren om zoveel mogelijk systemen te ontdekken en te exploiteren, zal deze enge fout nog jarenlang voor vernietiging op het internet zorgen!