AWS heeft de Log4j-kwetsbaarheid snel gepatcht, maar nu blijkt dat die patches zelf nieuwe en ernstige kwetsbaarheden met zich meebrachten.
AWS was snel in het patchen van Log4Shell. Die gevaarlijke en bijzonder wijdverspreide kwetsbaarheid in Log4j kon door hackers ernstig misbruikt worden. Nu blijkt dat de patch zelf niet vrij van lekken was. Met de update introduceerde AWS ongewild drie nieuwe ernstige kwetsbaarheden in de eigen infrastructuur. Wie Java-applicaties op AWS in containers draait, installeert best meteen nieuwe updates.
Het probleem treft specifiek de Log4j-hotpatches voor Java VM’s op Amazon Linux en Amazon Linux 2 binnen AWS. De nieuwe kwetsbaarheden laten een aanvaller toe om te ontsnappen uit een container en zo de achterliggende server over te nemen met root-privileges. Dat stelden onderzoekers van Palo Alto vast. De nieuwe kwetsbaarheden gaan door het leven als CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 en CVE-2022-0071 en worden over de ganse lijn als ernstig beschouwd.
Patch voor de patch
AWS voorziet intussen meteen nieuwe patches die het probleem oplossen. Die kan je meteen installeren via sudo yum update. De hotpatch verwacht dat de omgeving de recentste versie van de Linux kernel draait, dus ook die moet up to date zijn. Klanten die Bottlerocket gebruiken, moeten ook daarvan de recentste release installeren.
Palo Alto demonstreerde al hoe een aanval met een maladide container-image de lekken kan misbruiken, maar deelt geen verdere details. De aanval wordt immers nog niet uitgevoerd in het wild, en dat wil de beveiligingsspecialist ook niet aanmoedigen. Toch is het zoals steeds geen goed idee om te wachten met de updates. Nu het bestaan van de kwetsbaarheid publiek gekend is, zal het vermoedelijk niet meer al te lang duren voordat de eerste criminelen ze proberen te misbruiken.