Hoe het beveiligingslek van Log4J u in gevaar brengt

December 13, 2021
InNieuws Internet Beveiliging

Belangrijkste leerpunten

Hackers plaatsten een code die een exploit onthult in een veelgebruikte Java-logboekbibliotheek.
Cybersecurity-speurneuzen merkten massale scans op internet op op zoek naar exploiteerbare servers en services.
De Cybersecurity and Infrastructure Security Agency (CISA) heeft er bij leveranciers en gebruikers op aangedrongen hun software en diensten dringend te patchen en bij te werken.

Digitale gegenereerde afbeelding van elektronische circuit beveiliging hangslot gemaakt van getallen op zwarte achtergrond. — Andriy Onufriyenko / Getty Images

Het cyberbeveiligingslandschap staat in vuur en vlam vanwege een gemakkelijk te misbruiken kwetsbaarheid in een populaire Java-logboekbibliotheek, Log4j. Het wordt gebruikt door elke populaire software en service en heeft misschien al gevolgen voor de dagelijkse desktop- en smartphonegebruiker.

Experts op het gebied van cyberbeveiliging zien een grote verscheidenheid aan gebruiksscenario's voor de Log4j-exploit al op het dark web verschijnen, variërend van misbruik Minecraft servers tot meer spraakmakende problemen waarvan zij denken dat ze mogelijk van invloed kunnen zijn op Apple iCloud.

"Deze Log4j-kwetsbaarheid heeft een trickle-down-effect en treft alle grote softwareleveranciers die dit onderdeel zouden kunnen gebruiken als onderdeel van hun applicatieverpakking," John Hammond, Senior Beveiligingsonderzoeker bij Jager, vertelde Lifewire via e-mail. "De beveiligingsgemeenschap heeft kwetsbare applicaties ontdekt van andere technologiefabrikanten zoals Apple, Twitter, Tesla en Cloudflare. Op dit moment onderzoekt de industrie nog steeds het enorme aanvalsoppervlak en loopt het risico dat deze kwetsbaarheid met zich meebrengt."

Vuur in het gat

De kwetsbaarheid gevolgd als: CVE-2021-44228 en Log4Shell genaamd, heeft de hoogste ernstscore van 10 in het Common Vultability Score System (CVSS).

Grijsruis, die internetverkeer analyseert om belangrijke beveiligingssignalen op te vangen, eerste waargenomen activiteit voor deze kwetsbaarheid op 9 december 2021. Toen begonnen bewapende proof-of-concept exploits (PoC's) te verschijnen, wat leidde tot een snelle toename van scannen en openbare exploitatie op 10 december 2021 en het hele weekend.

Log4j is sterk geïntegreerd in een brede set van DevOps-frameworks en enterprise IT-systemen en in eindgebruikerssoftware en populaire cloudapplicaties.

Cloud computing-toets op computertoetsenbord — Sitade / Getty Images

Uitleg over de ernst van de kwetsbaarheid, Anirudh Batra, een dreigingsanalist bij WolkSEK, vertelt Lifewire via e-mail dat een dreigingsactor het zou kunnen misbruiken om code op een externe server uit te voeren.

"Hierdoor zijn zelfs populaire games zoals Minecraft ook kwetsbaar. Een aanvaller kan er misbruik van maken door een payload in de chatbox te plaatsen. Niet alleen Minecraft, maar andere populaire services zoals iCloud [en] Steam zijn ook kwetsbaar", legt Batra uit, eraan toevoegend dat "het activeren van de kwetsbaarheid in een iPhone net zo eenvoudig is als het veranderen van de naam van het apparaat."

Topje van de ijsberg

Cyberbeveiligingsbedrijf houdbaar suggereert dat omdat Log4j is opgenomen in een aantal webapplicaties en wordt gebruikt door verschillende cloudservices, de volledige omvang van de kwetsbaarheid pas over enige tijd bekend zal zijn.

Het bedrijf wijst op een GitHub-opslagplaats die de getroffen services volgt, die op het moment van schrijven een lijst bevat van ongeveer drie dozijn fabrikanten en services, waaronder populaire zoals Google, LinkedIn, Webex, Blender en andere genoemde eerder.

"Terwijl we spreken, onderzoekt de industrie nog steeds het enorme aanvalsoppervlak en loopt het risico dat deze kwetsbaarheid met zich meebrengt."

Tot nu toe is de overgrote meerderheid van de activiteit gescand, maar er zijn ook exploitatie- en post-exploitatie-activiteiten waargenomen.

"Microsoft heeft activiteiten geobserveerd, waaronder het installeren van muntmijnwerkers, Cobalt Strike om diefstal van inloggegevens en zijwaartse beweging mogelijk te maken, en het exfiltreren van gegevens uit gecompromitteerde systemen", schrijft de Microsoft Threat Intelligence Center.

Sla de luiken neer

Het is dan ook geen verrassing dat vanwege het gemak van exploitatie en de prevalentie van Log4j, Andrew Morris, oprichter en CEO van GreyNoise, vertelt Lifewire dat hij gelooft dat de vijandige activiteit de komende dagen zal blijven toenemen.

Het goede nieuws is echter dat Apache, de ontwikkelaars van de kwetsbare bibliotheek, een patch heeft uitgegeven om de exploits te neutraliseren. Maar het is nu aan individuele softwaremakers om hun versies bij te werken om hun klanten te beschermen.

Close-upfoto van iemands handen die met haar laptop aan het werk zijn — Manuel Breva Colmeiro / Getty Images

Kunal Anand, CTO van cyberbeveiligingsbedrijf Imperva, vertelt Lifewire via e-mail dat terwijl de meeste vijandige campagnes die misbruik maken van de kwetsbaarheid momenteel gericht zijn op: zakelijke gebruikers, eindgebruikers moeten waakzaam blijven en ervoor zorgen dat ze hun getroffen software updaten zodra er patches zijn beschikbaar.

Het sentiment werd gedeeld door Jen Easterly, directeur van de Cybersecurity and Infrastructure Security Agency (CISA).

"Eindgebruikers zullen afhankelijk zijn van hun leveranciers en de leveranciersgemeenschap moet het brede scala aan producten die deze software gebruiken onmiddellijk identificeren, verminderen en patchen. Leveranciers moeten ook met hun klanten communiceren om ervoor te zorgen dat eindgebruikers weten dat hun product deze kwetsbaarheid bevat en prioriteit moeten geven aan software-updates", zei Easterly via een stelling.