De kritieke kwetsbaarheid die vrijdag in Log4j werd ontdekt, treft duizenden organisaties waaronder heel wat grote namen. Hackers maken intussen gretig gebruik van de bug.
Vrijdag maakten beveiligingsonderzoekers een kwetsbaarheid in Apache Log4j bekend. Log4j is een opensource-tool die gebruikt wordt om logs bij te houden. Heel veel internetdiensten groot en klein gebruiken Log4j om hun logs te vullen. De kwetsbaarheid is kritiek en laat aanvallers toe om vanop afstand zonder al te veel moeite eigen code te draaien op systemen die op Log4j vertrouwen.
Iedereen kwetsbaar
Log4Shell, zoals de kwetsbaarheid door het leven gaat, treft in de praktijk de meeste systemen die draaien op Java. De logdienst en bijgevolg de bug zitten geïntegreerd in de populaire frameworks Apache Struts2, Apache Druid en Apache Flink. De alomtegenwoordigheid van Log4j gecombineerd met de ernst van de bug maakt het één van de meest ernstige kwetsbaarheden ooit, op het niveau van Heartbleed of Shellshock.
De impact van de bug valt dan ook niet te onderschatten. Log4Shell treft duizenden diensten wereldwijd. Grote namen zoals Apple, Amazon, Cloudflare, IBM, Twitter, Tesla en Steam gebruiken de getroffen versie van Log4j. Dat impliceert dat ze aangewezen zijn op extra beveiliging om misbruik te voorkomen. Cloudflare communiceerde intussen al dat het updates heeft uitgerold en geen misbruik heeft gedetecteerd.
Acties misbruik
Log4Shell wordt al verschillende dagen actief misbruikt door hackers in het wild. Zij kunnen aan de slag gaan met de bug simpelweg door via de browser enkele lijnen code toe te voegen wanneer ze de portaalsite van een getroffen dienst bezoeken. Aanvallers gebruiken Log4Shell als achterpoortje om onder andere cryptominers te installeren of hun botnet uit te breiden.
lees ook
Ernstige kwetsbaarheid in populaire logbibliotheek Java
Netlab 360 laat al weten dat aanvallers de bug misbruiken om malware voor de botnets Mirai en Muhstik uit te rollen. Microsoft weet dan weer dat hackers eigen versies van Cobalt Strike injecteren. Ook het Kinsing-cryptobotnet maakt al gretig gebruik van opening die Log4j biedt.
Updaten
Apache introduceerde intussen Log4j 1.15.0. Die versie zou de kwetsbaarheid verhelpen. Draait jouw organisatie websites of diensten gebouwd op Java, al dan niet via één van de Apache-frameworks, dan is de kans groot dat Log4j en dus ook de kwetsbaarheid aanwezig zijn. Het spreekt voor zich dat het essentieel is om systemen zo snel mogelijk van een update te voorzien. Log4Shell kan op tal van manieren misbruikt worden, niet alleen om botnets te vergroten of cryptomunten te minen, maar ook om data te stelen of ransomware uit te rollen.
lees ook