Log4Shell kwetsbaarheid vormt een ander soort uitdaging voor IT-teams

13-12-2021 | door: Redactie
Deel dit artikel:

Log4Shell kwetsbaarheid vormt een ander soort uitdaging voor IT-teams

Sean Gallagher, Senior Threat Researcher bij Sophos, belicht enkele zaken rond de kritieke kwetsbaarheid die is gevonden in de Apache Log4j-software. Dit is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. 

“Sinds 9 december heeft Sophos honderdduizenden pogingen gedetecteerd om op afstand code uit te voeren met behulp van de Log4Shell-kwetsbaarheid. Aanvankelijk waren dit Proof-of-Concept (PoC) exploittests door onder meer beveiligingsonderzoekers en potentiële aanvallers, evenals vele online scans op de kwetsbaarheid. Dit werd al snel gevolgd door pogingen om coin miners te installeren, waaronder het Kinsing miner botnet. De meest recente informatie suggereert dat aanvallers het beveiligingslek proberen te misbruiken door de keys die door Amazon Web Service-accounts worden gebruikt, bloot te leggen. Er zijn ook tekenen dat aanvallers het beveiligingslek proberen te misbruiken om tools voor externe toegang in slachtoffernetwerken te installeren, mogelijk Cobalt Strike, een belangrijk hulpmiddel bij veel ransomware-aanvallen.

“De Log4Shell-kwetsbaarheid vormt een ander soort uitdaging voor IT-teams. Veel softwarekwetsbaarheden zijn beperkt tot een specifiek product of platform, zoals de ProxyLogon- en ProxyShell-kwetsbaarheden in Microsoft Exchange. Zodra IT-teams weten welke software kwetsbaar is, kunnen ze deze controleren en patchen. Log4Shell is echter een bibliotheek die door veel producten wordt gebruikt. Het kan daarom aanwezig zijn in alle uithoeken van de infrastructuur van een organisatie, bijvoorbeeld in-house ontwikkelde software. Het vinden van alle systemen die kwetsbaar zijn vanwege Log4Shell moet een prioriteit zijn voor beveiligingsteams.

“Sophos verwacht dat de snelheid waarmee aanvallers de kwetsbaarheid benutten en gebruiken de komende dagen en weken alleen maar zal toenemen en diversifiëren. Zodra een aanvaller de toegang tot een netwerk heeft veiliggesteld, kan elke infectie volgen. Daarom moeten IT-beveiligingsteams, naast de software-update die al door Apache is uitgebracht in Log4j 2.15.0, een grondige beoordeling van de activiteit op het netwerk uitvoeren om eventuele sporen van indringers op te sporen en te verwijderen, zelfs als het er alleen maar uitziet als hinderlijke commodity-malware.”

Terug naar nieuws overzicht
Security