De Apache Log4j kwetsbaarheid lijkt de grootste en meest wijdverspreide kwetsbaarheid ooit te worden en betreft mogelijk “honderden miljoenen apparaten”. Volgens Jen Easterly, directeur van Amerika’s Cybersecurity agentschap CISA, is het “een van de meest serieuze” kwetsbaarheden die ze gezien heeft “in haar hele carrière”.
De gemiddelde recreatieve internetgebruiker of werknemer kan hier overigens niet veel aan doen, behalve al je apparatuur updaten zodra er een update beschikbaar is. De oplossing ligt in de handen van softwarebedrijven, systeembeheerders en cybersecurityspecialisten die de komende dagen en weken weinig nachtrust zullen krijgen.
Wat is Log4j en waarom is het zo gevaarlijk?
Software en websites worden ontwikkeld met behulp van programmeertalen. Eén van de meest populaire talen is Java. Dat wordt gebruikt voor software, apps, games, televisies, smart cards, computers, etc. Log4j is een populaire open source tool voor programmeurs om gedrag van software vast te leggen (loggen). Hiermee kunnen zij code beoordelen en fouten opsporen. Log4j is goed, gratis, zeer populair en wordt wereldwijd door organisaties van groot tot klein gebruikt.
Beveiligingsonderzoekers hebben op 10 December 2021 een kwetsbaarheid in Log4j gevonden die het mogelijk maakt om van buitenaf instructies naar het systeem te sturen. Met deze instructies kan een hacker de server eigenlijk alles laten doen wat een beheerder ook zou kunnen. Dit opent de deur voor data diefstal, gijzelsoftware (ransomware) plaatsen of het systeem misbruiken om crypto’s te minen of weer andere systemen aan te vallen (ddos-aanval).
De kwetsbaarheid is eenvoudig te misbruiken dus je hoeft geen geavanceerde hacker te zijn om hier mee aan de slag te gaan. Vandaar dat de kwetsbaarheid, officieel aangeduid als CVE-2021-44228, een score van 10 uit 10 krijgt. En dat betekent alle hens aan dek!
Wie loopt er gevaar?
Omdat log4j zo’n veelgebruikte tool is zijn vrijwel alle belangrijke spelers wel in meer of mindere mate betrokken. Ons eigen Nationaal Cyber Security Centrum (NCSC) houdt een zeer gedetailleerde lijst van software bij die mogelijk kwetsbaar zijn. Deze lijst is verre van compleet, maar er zitten bekende namen tussen als Apple, Amazon, LinkedIn, Twitter, Gmail, Dell en Cisco.
Zodra de kwetsbaarheid bekend werd hebben hele volksstammen aan cybercriminelen zich erop gestort. Binnen enkele uren werden er enkele duizenden aanvallen geregistreerd en na 72 uur waren dat er al richting een miljoen.
Onderzoek van cybersecurity bedrijf Bitdefender laat al tekenen van een nieuwe ransomware familie genaamd ‘Khonsari’ zien. Onze verwachting is dat we hier nog niet het laatste van gehoord hebben.
En om zaken nóg erger te maken, is er ook een tweede kwetsbaarheid aangetroffen, CVE-2021-45046. Systemen die gepatched waren tegen de eerste bug bleken nog kwetsbaar voor de tweede bug. De systeembeheerders kunnen voorlopig nog niet naar bed.
Campai’s reactie op Log4j
Op vrijdag 9 December zijn wij door een NCSC alert met classificatie High/High gewaarschuwd voor de Log4j kwetsbaarheid. Wij hebben direct ons Incident Response Proces in werking gesteld. Onder regie van de Security Officer en in samenwerking met onze leveranciers hebben we onze interne tools en systemen geanalyseerd om vast te stellen of onze infrastructuur kwetsbaar was. Er is vastgesteld dat Log4j niet op onze systemen aanwezig was. Onze leveranciers waren niet kwetsbaar of hadden de kwetsbaarheid al verholpen.
Vanaf Maandag 13 December scannen wij dagelijks alle computers, servers en randapparatuur die wij in beheer hebben, inclusief onze eigen systemen, op aanwezigheid van de kwetsbaarheid én op sporen van misbruik. Daar waar de kwetsbaarheid wordt aangetroffen passen we automatisch alle relevante officiële mitigerende maatregelen toe. Waaronder: updaten van software, dichtzetten van poorten op managed firewalls, verwijderen van potentieel schadelijke bestanden.
Bronnen
- Lijst van software met blootstelling aan Log4j – bijgehouden door het NCSC
- Overzicht van mitigaties – bijgehouden door het NCSC
- Mitigations & Workarounds – Microsoft Security Response Center
- Scan script – Datto
- Detection methoden die worden toegepast – Florian Roth
Ben je klant en wil je weten hoe we je beschermen, zorg dat je geabonneerd bent op onze Operations Update nieuwsbrief of neem even contact op via 079-3637050.
