>>
Gepubliceerd op: 13 december 2021, min. leestijd

Kwetsbaarheid Java-library log4j-update

In deze post doen we een poging een overzichtelijke samenvatting met een stappenplan en bijbehorende links voor hulpmiddelen, zodat je direct aan de slag kan.

Wat is Log4j?

Log4j (v2) is een logging tool gebruikt in veel Java applicaties om bij te houden wat er allemaal gebeurt met de applicatie. Deze logbestanden zijn van essentieel belang voor het oplossen van problemen in de software en dataanalyse. Logging kan ook juridische grondslag hebben. Kortom, iedereen gebruikt logging, en Lg4j (v2) is daarvoor een veelgebruikte module in java. Gebruik je Java, dan is het aannemelijk dat je ook Log4j gebruikt.

Wat is er dan mis met Log4j v2?

Er zit een zogenaamde 'remote code execution' vulnerability in de veelgebruikte Java library, waarin ongeauthenticeerde gebruikers code kunnen laten uitvoeren door de server die gebruik maakt van Log4j. De combinatie van speciale gebruikersinput en dat Log4j deze input niet alleen 'opslaat' maar ook evalueert/uitvoert kunnen zorgen voor complete overname van het systeem. Op dit moment zien wij dat er vooral veel cryptocoinminers worden geinstaleerd.

Waarom komt dit nu ineens naar buiten?

Afgelopen donderdagavond (9 december) werd op twitter melding gemaakt van deze kwetsbaarheid, opvallend is dat daarbij ook direct een POC (Proof of Concept) is uitgebracht. Een POC stelt aanvallers namelijk direct in de gelegenheid om de aanval te misbruiken.

Cloudflare, een CDN provider, meldt dat er vanaf 1 december 2021 pogingen zijn waargenomen deze kwetsbaarheid te misbruiken, maar het is niet uit te sluiten dat deze kwetsbaarheid al langer bekend is onder cybercriminelen.

Wat is de impact?

De impact is enorm, aangezien Log4j in zoveel verschillende omgevingen wordt gebruikt. Omdat Log4j een dependency is voor verschillende software, zullen veel bedrijven zich ook niet bewust zijn dat deze software gebruikt wordt.

Waar minder over gesproken wordt, zijn back-end applicaties. Dit houdt in dat internet facing applicaties zelf niet direct kwetsbaar zijn, maar omdat de data in een achterliggende Java applicatie wordt verwerkt, deze code mogelijk op die locatie wordt uitgevoerd. Het is dus belangrijk niet alleen internet facing applicaties te checken, maar ook naar het interne landschap te kijken.

Wat kan ik nu doen?

Het NCSC heeft een stappenplan opgesteld om hierbij te helpen:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt;
  2. Controleer of voor kwetsbare systemen of uw softwareleverancier een patch heeft uitgebracht;
  3. Controleer systemen op misbruik;
  4. Schakel extra detectiemaatregelen in.

Uitgebreide variant met extra hulpmiddelen is te vinden op de site van het NCSC https://www.ncsc.nl/actueel/nieuws/2021/december/12/kwetsbare-log4j-applicaties-en-te-nemen-stappen

Het NCSC houdt op Github een lijst bij van kwetsbare software(versies) en mitigerende maatregelen : https://github.com/NCSC-NL/log4shell/tree/main/software

Naast het zo snel mogelijk patchen van kwetsbare software is het verstandig om extra alert te zijn op rare activiteit binnen het netwerk. De kwetsbaarheid geeft de aanvaller de mogelijkheid om willekeurige code uit te voeren op de machine, de kans is groot dat hier tooling wordt gebruikt die al langer bestaat, en dus gedetecteerd kan worden door bestaande maatregelen.

Ik heb op dit moment kwetsbare software draaien, ben ik nu gehackt?

De kans dat een aanvaller misbruik heeft gemaakt van de kwetsbaarheid is aannemelijk. Ga in de logbestanden en EDR tooling na of er vreemd gedrag is waargenomen. Veel securitybedrijven zijn preventief het internet aan het scannen op deze kwetsbaarheid om zo organisaties op de hoogte te brengen, deze pogingen zijn lastig te onderscheiden van daadwerkelijk misbruik van de kwetsbaarheid.

Het NCSC houdt ook een lijst met tooling tbv detectie van misbruik bij: https://github.com/NCSC-NL/log4shell/tree/main/mitigation

Zie je verdachte connecties, en heb je vermoeden van een cyberaanval op jouw netwerk?

Neem dan direct contact op met de Computest Incident Response hotline op 088 733 13 38, onze specialisten staan voor je klaar en proberen je zo goed mogelijk te helpen.

Geen directe paniek, maar toch een vraag?

Stuur een mailtje naar ir@computest.nl

Deze website werkt het beste met JavaScript ingeschakeld