Digital Investigation

Golf aan aanvallen met gijzelsoftware dreigt door lek Log4j

13-12-2021

Wat betekent dit voor jouw organisatie?

Er is een beveiligingslek aangetroffen in de veelgebruikte opensource Apache Log4j 2-tool, die wordt gebruikt voor het loggen van Java-applicaties. De software is zeer breed in gebruik bij organisaties over de hele wereld en dient voor onder andere clouddiensten en enterprise-apps. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor exploitcode en misbruik op korte termijn.

Iedere criminele hacker met een internetverbinding kan misbruik maken van het lek. Omdat Log4j ook op plaatsen zit waar u het niet meteen verwacht, is het verstandig een softwareleverancier te raadplegen.

Apache Log4j 2
Het programma dat momenteel zeer kwetsbaar is wordt onder andere gebruikt om logs bij te houden van webservers. Hierin wordt informatie opgeslagen zoals log-ins en errormeldingen, waarmee beheerders problemen of verdacht gedrag kunnen opsporen. Alle software die gegevens logt met gebruikmaking van Log4j is echter kwetsbaar.

Kwetsbaarheid
De kwetsbaarheid maakt het mogelijk voor ongeauthenticeerden om op afstand een willekeurige code te injecteren en uit te voeren met de rechten van de webserver. Zo’n code kan software bevatten die schadelijk is, waarmee een hacker toegang kan krijgen tot de server of malware (software om computersystemen te verstoren) kan verspreiden. Dit is de eerste stap naar gijzelsoftware. Kwaadaardige software die bestanden op het netwerk versleutelt in de hoop dat losgeld wordt betaald.

Standaardconfiguraties van Apache-projecten Apache Struts2, Solr, Druid en Flink zijn kwetsbaar door het probleem met Log4j 2. Het probleem zit echter nóg dieper. De oorzaak zit in Java Naming and Directory Interface (JNDI), een systeem dat binnen Log4j gebruikt wordt.

CVE-2021-44228
De kwetsbaarheid wordt aangeduid als CVE-2021-44228, maar wordt ook wel Log4Shell of LogJam genoemd. Het NCSC verwacht exploitcode en misbruik op korte termijn. De versies van Log4j 2.0-beta9 tot en met 2.14.1 zijn kwetsbaar. Apache heeft updates uitgebracht om de kwetsbaarheid te verhelpen en bij versie 2.15.0 is het probleem verholpen. Het NSC publiceerde zondagavond een lijst met kwetsbare en niet-kwetsbare applicaties.

Loopt u risico? Neem contact met ons op.
Er zijn workarounds beschikbaar die de kwetsbare software tijdelijk beschermen tot er een definitieve security patch voor dit probleem uitkomt vanuit Apache. Heeft u redenen om aan te nemen dat een aanval op de Log4j kwetsbaarheid succesvol is geweest en men het netwerk is binnengedrongen? Neem dan direct contact met ons op, zodat onze Incident Responders u kunnen ondersteunen.

Ook als u hierover twijfelt en uw logbestanden wil laten controleren, helpen wij u graag. Digital Investigation (a Triple P company) heeft een tool ontwikkeld om logbestanden razendsnel te analyseren. Daarnaast biedt Digital Investigation u de mogelijkheid om jouw ICT-infrastructuur (op afstand) te scannen naar andere kwetsbare systemen, zodat u niets over het hoofd ziet.

Neem zelf contact op of laat uw gegevens achter voor een vrijblijvend intakegesprek

Onze specialist Greg l'Ami bespreekt graag vrijblijvend uw kwestie. 

glami@digital-investigation.nl

+31 (0) 88 0332 426

  • Indien van toepassing.