Nu alle ogen dankzij Log4Shell op Log4j gericht zijn, blijft het klaarblijkelijk kwetsbaarheden regenen. Een derde bug laat aanvallers opnieuw toe op DoS-aanvallen uit te voeren maar is verder gelukkig minder ernstig dan het eerste lek.
Log4j bevat een derde gevaarlijke kwetsbaarheid. Dat meldt de Apache Software Foundation zelf. Anderhalve week geleden ging de bal aan het rollen met de ontdekking van een erg gevaarlijke zero day-kwetsbaarheid in de populaire logtool. Na een patch bleek Log4j kwetsbaar voor een variatie op de eerste bug en nu blijkt de opensourcebibliotheek nog een derde lek te bevatten.
DoS-aanval
De eerste kwetsbaarheden lieten aanvallers toe om via het internet eigen code uit te voeren. Deze bug is iets minder kritisch, maar stelt hackers nog steeds in staat om een feedbackloop te activeren waardoor een server met daarop software die Log4j gebruikt, komt vast te zitten. Het resultaat van de bug is in essentie een gerichte DoS-aanval.
Log4j versie 2.15.0 lost de eerste belangrijke Log4Shell-kwetsbaarheid op die intussen massaal wordt uitgebuit. Versie 2.16.0 maakt komaf met de tweede bug. Om systemen ook van deze derde DoS-kwetsbaarheid te beschermen, heb je Log4j versie 2.17.0 nodig.
Wijdverspreid
Log4Shell en varianten bezorgen IT’ers wereldwijd flink wat hoofdpijn (en overuren) in aanloop naar het eindejaar. Zoals we uitvoerig uitleggen in een eerder stuk is Log4j immers geen app, maar een opensource softwarecomponent dat geïntegreerd zit in duizenden toepassingen wereldwijd. Grote namen zoals IBM en VMware maken ervan gebruik. Al die individuele toepassingen zijn dus kwetsbaar voor de bug.
lees ook
Wat is Log4Shell en waarom is de bug zo gevaarlijk?
Intussen hebben grote hackerscollectieven het al gemunt op Log4j. Staatsgesponsorde actoren nemen enthousiast aan het feest deel. In ons land werd vandaag duidelijk dat aanvallers de systemen van Defensie via één van de Log4j-bugs gekraakt hebben.