Wouter Hoeffnagel - 13 december 2021

Check Point: Bijna vier op de tien netwerken geraakt door Apache Log4j-lek

Security Data protection Infrastructuur Software Applications

Check Point Software Technologies publiceert nieuwe inzichten rondom het lek in Apache Log4j-software. Omdat het lek een groot event is, is dit een zich ontwikkelende situatie die voortdurend verandert. Hierbij de meest recente update.

Sinds afgelopen vrijdag waren onderzoekers van Check Point Research getuige van wat lijkt op een evolutionaire onderdrukking, waarbij nieuwe varianten van de oorspronkelijke exploit snel werden geïntroduceerd - meer dan 60 in minder dan 24 uur tijd. Het ziet er bijna grenzeloos uit. Het lek kan bijvoorbeeld worden misbruikt via HTTP of HTTPS (de versleutelde versie van browsen). Het aantal combinaties van hoe het te exploiteren geeft de aanvaller veel alternatieven om nieuw geïntroduceerde beveiligingen te omzeilen. Dit betekent dat één beschermingslaag niet genoeg is, en alleen een meerlaagse beveiligingsstrategie een veerkrachtige bescherming kan bieden.

Ingebed in elk Java-gebaseerd product of webservice

In tegenstelling tot andere grote cyberaanvallen waarbij één of een beperkt aantal software betrokken is, is Log4j in principe ingebed in elk op Java gebaseerd product of elke webservice. Het is erg moeilijk om het handmatig te herstellen. Nadat een verkenning was gepubliceerd (op vrijdag), volgden scans van internet (om oppervlakken toe te wijzen die kwetsbaar zijn door dit incident). Degenen die geen beveiliging implementeren, zijn waarschijnlijk al gescand door kwaadwillende actoren. De Check Point onderzoekers hebben intussen al meer dan 820.000 pogingen (status vandaag, maandagochtend) gezien om netwerken van ruim een derde van alle ondernemingen wereldwijd te scannen.

Deze kwetsbaarheid, vanwege de complexiteit van het patchen en het gemak om te exploiteren, zal nog jaren onder ons blijven, tenzij bedrijven en diensten onmiddellijk actie ondernemen om de aanvallen op hun producten te voorkomen door een beveiliging te implementeren.

Gezien de feestdagen, wanneer beveiligingsteams door minder bezetting mogelijk langzamer beschermende maatregelen implementeren, is de dreiging enorm. Het lek werkt als een cyberpandemie: zeer besmettelijk, verspreidt zich snel en kent meerdere varianten, waardoor er meer manieren zijn om aan te vallen.

Ruim 820.000 pogingen tot misbruik voorkomen

Lotem Finkelstein, Director, Threat Intelligence and Research voor Check Point Software Technologies, meldt: “Ik kan de ernst van deze dreiging niet genoeg benadrukken. Op het eerste gezicht is dit gericht op cryptominers, maar we zijn van mening dat serieuze bedreigingsactoren dit zullen proberen uit te buiten om een hele reeks hoogwaardige doelen aan te vallen, zoals banken, staatsveiligheid en kritieke infrastructuur. We zijn vrijdag begonnen met het implementeren van onze bescherming en tegen vanochtend hadden we al meer dan 820.000 pogingen verhinderd om de kwetsbaarheid te misbruiken in ruim een derde van alle bedrijfsnetwerken wereldwijd (36,8%). Het meest verontrustend is het feit dat bijna de helft (46%) van die pogingen werd gedaan door bekende kwaadwillende groepen. Beveiligingsteams moeten hier met de grootste urgentie op inspringen, aangezien de kans op schade niet te overzien is. De noodzaak van een snelle reactie wordt benadrukt door het feit dat dit werd ontdekt aan het einde van de werkweek in de aanloop naar de vakantieperiode, wanneer beveiligingsteams mogelijk langzamer zijn bij het implementeren van beschermende maatregelen. Bij Check Point Software luiden we al enkele maanden de noodklok over een ‘cyberpandemie’ en dit is precies wat we bedoelen. Het is zeer besmettelijk en verspreidt zich snel, dus constante waakzaamheid en een robuuste preventiestrategie zijn essentieel.”

De Check Point onderzoekers hebben tot nu toe een poging tot misbruik gezien op meer dan 36,8% van de bedrijfsnetwerken wereldwijd, in Europa 39,1%.