Log4j is eenvoudig om op afstand te exploiteren

De Log4shell-kwetsbaarheid in Log4j staat absoluut in de top-5 van meest ernstige kwetsbaarheden van het afgelopen decennium, een die remote code-uitvoering (RCE) mogelijk maakt. Dit meldt Candid Wuest, Acronis VP of Cyber Protection Research.

Het is te vergelijken met de EternalBlue die door WannaCry wordt gebruikt, of de ShellShock Bash-kwetsbaarheid. Wat het zo serieus maakt, is hoe eenvoudig het is om het op afstand te exploiteren, evenals het enorme aantal applicaties dat het gebruikt. Bovendien duurt het ook langer om te patchen, omdat het niet slechts één kwetsbare software is die kan worden bijgewerkt, maar eerder een bibliotheek die in veel applicaties is opgenomen, wat resulteert in veel verschillende updates die moeten worden geïnstalleerd.

De lijst met getroffen applicaties groeit nog steeds, terwijl bedrijven hun analyse voltooien - getroffen applicaties omvatten al Steam, Minecraft, Blender, LinkedIn, VMware en nog veel meer. De impact kan variëren van serviceonderbreking tot het uitvoeren van malware, waarbij alle klantgegevens volledig worden gestolen. Deze aanvallen kunnen leiden tot een piek in datalekken, tot het toevoegen van nieuwe computers aan botnets voor toekomstige aanvallen.

Veel organisaties maken momenteel overuren om vast te stellen of hun gebruikte software is blootgesteld aan de log4shell-kwetsbaarheid. Omdat software zoals VMWare, WebEx en PulseSecure VPN wordt beïnvloed, kan dit leiden tot downtime en onderbrekingen terwijl maatregelen worden getroffen. Omdat de kwetsbaarheid al dagen wordt misbruikt, moeten de beveiligingsteams analyseren of ze zijn gehackt en of er een achterdeur is geïnstalleerd door aanvallers. Aanvallen varieerden van overlast - zoals cryptocurrency-miners - tot backdoor en ransomware, die de hele organisatie in gevaar kunnen brengen.

Wat het is: Log4j is een Apache Java-bibliotheek die vaak wordt toegevoegd aan andere toepassingen om het loggen van gegevens af te handelen, bijvoorbeeld naar tekstbestanden. Het is zeer populair, omdat het eenvoudig te gebruiken is, dus duizenden applicaties gebruiken het. De log4shell-kwetsbaarheid (CVE-2021-44228) werkt omdat de applicatie het mogelijk maakt om dynamische waarden te laden via de JNDI (Java Naming and Directory Interface). Deze gegevens zijn niet goed gevalideerd en kunnen de aanvaller op afstand in staat stellen willekeurige opdrachten te verzenden, die vervolgens op het systeem worden uitgevoerd. In het ergste geval kan dit een achterdeur installeren, die de aanvaller volledige systeemtoegang geeft.

Door: Candid Wuest, Acronis VP of Cyber Protection Research.