Kaspersky: Zo kunnen organisaties zich tegen Log4j-kwetsbaarheid wapenen

Een nieuwe, bijzonder gevaarlijke kritieke kwetsbaarheid is eind vorige week ontdekt in de Apache Log4j bibliotheek. Beveiligingsbedrijf Kaspersky waarschuwt voor de impact van dit ernstige lek. En geeft een aantal adviezen waarmee bedrijven zich tegen deze kwetsbaarheid kunnen wapenen.

CVE-2021-44228 of Log4Shell of LogJam, is een zogenaamde Remote Code Execution (RCE) klasse kwetsbaarheid, wat betekent dat indien uitgebuit op een kwetsbare server, aanvallers de mogelijkheid krijgen om arbitraire code uit te voeren en mogelijk de volledige controle over een systeem over te nemen. De CVE is, op een schaal van tien, gerangschikt op een tien, wat de ernst van de kwetsbaarheid betreft.

Apache Logging Project

Het Apache Logging Project (Apache Log4j) is een open-source loggingbibliotheek die voor miljoenen Java-toepassingen wordt gebruikt. Elk product dat gebruik maakt van een kwetsbare versie van deze bibliotheek (versie 2.0-beta9 tot 2.14.1) is vatbaar voor deze nieuwe CVE.
 
Log4j bevat een Lookup-mechanisme voor het zoeken van verzoeken met behulp van een speciale syntax. Door een aangepaste prefix voor deze string te maken, kunnen aanvallers informatie overbrengen naar een server onder hun controle, wat leidt tot arbitraire code-uitvoering of een lek van vertrouwelijke informatie.

'Zelfs een onervaren hacker kan hiervan misbruik maken'

"Wat deze kwetsbaarheid bijzonder gevaarlijk maakt, is niet alleen het feit dat aanvallers volledige controle over het systeem kunnen krijgen, maar ook hoe gemakkelijk het is uit te buiten. Zelfs een onervaren hacker kan er misbruik van maken - en we zien nu al dat cybercriminelen actief op zoek zijn naar software die met deze CVE kan worden misbruikt. Het goede nieuws is echter dat een sterke security-oplossing een lange weg kan gaan in het beschermen van gebruikers," zegt Evgeny Lopatin, security-expert bij Kaspersky.
 
Kasperksy-producten beschermen tegen aanvallen die gebruikmaken van de kwetsbaarheid, inclusief het gebruik van PoC's, onder de volgende namen:

• UMIDS:Intrusion.Generic.CVE-2021-44228.
• PDM:Exploit.Win32.Generic

Advies

Om je tegen deze nieuwe kwetsbaarheid te beschermen, raden Kaspersky-experts het volgende aan:

• Installeer de meest recente versie van de bibliotheek, 2.15.0. indien mogelijk. Je kan deze downloaden op de projectpagina. Als je de bibliotheek gebruikt in een product van derden, is het noodzakelijk om tijdig updates van een softwareleverancier te controleren en te installeren.
• Volg de Apache Log4j project richtlijnen https://logging.apache.org/log4j/2.x/security.html
• Bedrijven moeten een security-oplossing gebruiken die componenten voor exploitpreventie, kwetsbaarheids- en patchbeheer biedt, zoals Kaspersky Endpoint Security for Business. Onze component voor Automatic Exploit Prevention controleert verdachte acties van applicaties en blokkeert de uitvoering van schadelijke bestanden.
• Gebruik oplossingen zoals Kaspersky Endpoint Detection and Response en Kaspersky Managed Detection and Response service die helpen bij het identificeren en stoppen van de aanval in een vroeg stadium, voordat aanvallers hun uiteindelijke doel bereiken.