Eind vorige week is er een kritieke kwetsbaarheid in Apache Log4j 2 bekend gemaakt. Deze Java-logtool wordt door veel organisaties wereldwijd gebruikt. Hierdoor is de impact van de kwetsbaarheid is door het NSCS (Nationaal Cyber Security Centrum) beoordeeld op een schaal van 1 tot 10 met een 10, dit betekend een hoge kans op grote schade.
De kwetsbaarheid wordt inmiddels actief misbruikt, het is daarom van extra belang om updates te installeren of maatregelen te nemen.
Lees hieronder meer over Apache Log4j-2, de kwetsbaarheid en de te nemen stappen:
Log4j is een veel gebruikte logging-tool die vooral door software ontwikkelaars wordt gebruikt om vast te leggen of er problemen in een applicatie voorkomen.
Een logger legt acties van een applicatie vast in een bestand op een systeem. Zo kan gecontroleerd worden wat de applicatie doet en of het doet wat het zou moeten doen. De logs worden gebruikt bij het troubleshooten bij problemen. Log4j library is een logging-applicatie die veel gebruikt wordt in Java applicaties. Java is een programmeertaal dat wereldwijd gebruikt wordt op o.a. webservers, pinautomaten, mobiele telefoons etc. Applicaties waarbij de log4j-2 tool gebruikt wordt en die direct vanaf het internet te bereiken zijn, zijn kwetsbaar voor het misbruik.
Door de kwetsbaarheid is het voor aanvallers mogelijk om door middel van het uitvoeren van een code controle te krijgen over de server waarop de Log4j-2 draait. Zo kan een aanvaller het systeem misleiden en op afstand instructies geven om externe waarden op te halen. In plaats van dat de logger bijvoorbeeld de waarden datum- en tijd uit de klok van de server haalt, kan een aanvaller een waarde ophalen vanaf een externe locatie, vanaf bijvoorbeeld: "http://kwaadaardigesoftware.ru/download-mijn-hack-bestand.exe".
Het systeem zal deze instructies volgen waardoor het de kwaadaardige software zal downloaden en uitvoeren op de server waarop de applicatie staat. Een kwaadwillende kan zo kwaadaardige software, zoals ransomware of virussen installeren op de server of toegang krijgen tot gevoelige data.
Digital Trust Center
https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-apache-log4j-2
Nationaal Cyber Security Centrum (NCSC)
https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
https://www.ncsc.nl/actueel/nieuws/2021/december/12/kwetsbare-log4j-applicaties-en-te-nemen-stappen
https://www.ncsc.nl/actueel/nieuws/2021/december/13/log4j-kwetsbaarheid-bereid-u-voor-op-misbruik