Wat is Log4J?
Log4J is een veel gebruikte module binnen Apache webservers en wordt gebruikt voor het loggen van gebeurtenissen op webservers. En laat nu juist de Apache HTTP-server een van de meest gebruikte webservers zijn. Alleen op het Internet zijn er naar schatting al meer dan 300.000.000 actief en binnen bedrijfsnetwerken wordt deze module in een veelvoud daarvan gebruikt.
Wat is dan het Log4Shell lek?
Op 9 december trok het cloud-securityteam van de Chinese internetwinkel Alibaba aan de bel vanwege een ernstige kwetsbaarheid in Log4j. Het lek werd in eerste instantie gezien bij een aanval op Minecraft-servers – een aantal spelers kwam erachter dat met enkele simpele commando’s in de chat van Minecraft complete servers overgenomen konden worden.
Kwaadwillende hebben hiermee een wijd openstaande deur om allerlei systemen over te nemen of te infecteren met malware. De vraag is niet wie er geraakt gaat worden maar wie er niet geraakt gaat worden.
Wat zijn de ontwikkelingen?
Hoewel het lek groot nieuws is, is er nog steeds veel onduidelijkheid. Enkele voorbeelden van vragen:
Welke versie van de software is wel geraakt, welke niet, moet de module actief geladen worden – of kan de aanval ook plaatsvinden als de module simpelweg aanwezig is? Tegelijkertijd zijn er steeds meer applicatieleveranciers die na eigen onderzoek erachter komen dat toch aanpassingen nodig zijn.
Op dit moment proberen de “grote jongens” het lek al actief misbruiken om systemen over te nemen. Check Point Software zag op haar eigen firewalls in drie dagen tijd ruim 400.000 pogingen tot misbruik voorbij komen.
Wat doet The Sourcing Company hier allemaal mee?
Wij hebben sinds het lek publiek bekend is geworden een aantal maatregelen genomen. Alle serversystemen, die wij beheren worden regelmatig gescand op bedreigingen en malware. We volgen hierbij de richtlijnen van het Nationaal Cyber Security Centrum. Ook hebben we veel contact met applicatieleveranciers over software die op onze systemen en systemen van klanten aanwezig is. Een aantal applicaties bleek inderdaad vatbaar voor het lek, deze zijn ondertussen in overleg met de betreffende klanten en leveranciers voorzien van de vereiste updates.
Ons platform team houdt het nieuws goed in de gaten en vanzelfsprekend blijven we systemen scannen en monitoren.
Wat kan ik als klant van The Sourcing Company nog doen?
Zorg ervoor dat systemen altijd voorzien van de laatste patches en updates en up-to-date zijn. Dat geldt uitdrukkelijk ook voor werkplekapparatuur, telefoons en tablets. Wij kunnen hier uiteraard mee helpen en zelfs automatiseren!
Ook is het belangrijk om ons op de hoogte te houden als je door een applicatieleverancier geïnformeerd wordt over een kwetsbaarheid in hun applicatie of te nemen stappen om systemen te beschermen tegen een kwetsbaarheid. Wij zullen dan, al dan niet in samenspraak met de applicatieleverancier, beoordelen welke actie nodig is.
Update 29-12-2021
Er is helaas weer een nieuwe kwetsbaarheid gevonden in Log4J. Echter, de impact van dit nieuwe lek is (gelukkig) aanzienlijk minder groot. Om gebruik te kunnen maken van dit lek moet een aanvaller al lokale toegang hebben tot de configuratiebestanden van Apache; iets wat uiteraard in een normale situatie niet mogelijk is.
Aan elk lek wordt een CVSS score gegeven op basis van het risico en de mogelijke impact. Het eerste lek had een score van 10.0; de hoogste score. Dit lek heeft een aanzienlijk lagere score van 5.9.
Applicatieleveranciers worden geadviseerd om Log4J bij te werken naar versie 2.17.1; voor de applicaties die in de afgelopen weken zijn geraakt zal TSC contact opnemen met de applicatie leveranciers om dit te begeleiden.
Als er vragen of onduidelijkheden zijn, neem dan gerust contact met ons op.
