Opgepast, Java-gebruikers: nieuwe zero-day vulnerability in Log4j

Je hoorde dit weekend of vandaag misschien wel al over die nieuwe zero-day vulnerability: CVE-2021-44228 (ook bekend als Log4Shell) isĀ een vulnerability in de Log4j-library. Deze vulnerability werd ontdekt door Chen Zhaojun van het Alibaba Cloud Security Team en heeft op dit moment eenĀ CVSS severity level van 10 – het hoogst mogelijke niveau. Omdat heel veel Java-applicaties gebruikmaken van deze Log4j-library, kunnen de gevolgen zeer zwaar zijn. We leggen uit wat Log4j precies is, wat de kwetsbaarheid precies inhoudt en hoe je je ertegen beschermt.

exploit visual

Wat is het en waarom is het gevaarlijk?

Voor we wat dieper ingaan op de zero-day, is het belangrijk om te wetenĀ wat Log4j precies is. In ieder programmeerproject is het belangrijk om bij te houden wat er precies gebeurt (bijvoorbeeld wie zich wanneer aanmeldt, welke acties een toepassing uitvoert…). Dit wordt ā€˜logging’ genoemd. Log4j (deel van het Apache Logging Project) is een van de meest duidelijke en gebruiksvriendelijke libraries voor dit doeleind. Heel wat Java-ontwikkelaars (Java is een van de populairste programmeertalen ter wereld) gebruiken dan ook Log4j om te loggen. Het spreekt dus voor zich dat de Log4j-library gebruikt wordt inĀ heel wat applicaties, met als bekendste voorbeelden Steam, Twitter, ElasticSearch, Minecraft, Googleproducten…

Ā 

Wat doet die zero-day kwetsbaarheid nu precies? Wel,Ā het laat aanvallers toe om, vanaf overal ter wereld, code uit te laten voeren op jouw server. Dit kunnen ze doen omdat CVE-2021-44228 een vulnerability van het typeĀ Remote Code Execution (RCE)Ā is. Aanvallers zorgen er dan voor dat een stuk code op de Log4j-service wordt geplaatst, die eenĀ payloadĀ op de geaffecteerde machine downloadt en uitvoert. Hierdoor kunnen zeĀ volledige controle krijgen over de machine.

Ā 

De tekst gaat verder onder de afbeelding.

log4j-vulnerability-payload

Doordat deze vulnerability heel makkelijk teĀ exploitenĀ is en de Log4j-library heel intensief gebruikt wordt, kan de impact heel groot zijn. Cybersecuritybedrijven merken nu al op datĀ hackergroeperingen massaal scans uitvoeren naar kwetsbare applicaties. Op het moment van schrijven zijn geaffecteerde servers vooral besmet metĀ cryptominers, maar het is slechts een kwestie van tijd voordat dit ook door zaken alsĀ ransomware of gijzelsoftwareĀ wordt uitgebuit.

Ā 

Deze paginaĀ houdt een lijst bij van de tot nu toe gekende getroffen bedrijven en producten. Die maakt duidelijk dat niemand gespaard blijft: onder andere iCloud, Amazon, Twitter en Steam zijn onderhevig aan de bug. DoorĀ de juiste maatregelen en beschermingĀ hoeft het gelukkig niet tot een effectieve aanval te komen.

Wat doet ConXioN en wat kan jij doen?

ConXioN zal kwetsbare applicaties die in ons beheer zijn meteenĀ patchenĀ van zodra die patches beschikbaar zijn. Verder bekijken we met onze leveranciers of hun producten getroffen zijn, zodat we meteen kunnen schakelen wanneer er een patch wordt uitgebracht. Hiervoor hoef jij niets te doen.

Ā 

Heb je zelf een applicatie in eigen beheer die gebruikmaakt van Log4j? Dan raden we je aan deze teĀ updatenĀ naar de laatste release, waarin de kwetsbaarheid is opgelost. Is updaten niet mogelijk? Dan kan je onderstaande stappen uitvoeren:

Ā 

  • Voor versies 2.10 – 2.14 moet ofwelĀ log4j2.formatMsgNoLookupsĀ ofLOG4J_FORMAT_MSG_NO_LOOKUPS opĀ TRUEĀ wordenĀ geplaatst.
  • Voor versies < 2.10 moet de JndiLooup class van het classpath worden verwijderd:Ā zip -q -d log4j-core-*.jarĀ org/apache/logging/log4j/core/lookup/JndiLookup.class.

Ā 

Heb je nog vragen over deze vulnerability? Of heb je hulp nodig met het verhelpen van de kwetsbaarheid in je eigen applicatie? Aarzel dan niet omĀ onze Service DeskĀ te contacteren.

Ā 

Wil je graag meer weten? Lees dan zeker watĀ SentinelOne,Ā GitHubĀ enĀ BugcrowdĀ over dit onderwerp te vertellen hebben.

Wie is Kerim?

Kerim Popelier is een van ConXioN’s Cyber Security Engineers. Je vindt hem hard aan het werk omĀ jouw veiligheidĀ te garanderen, op zoek naar de nieuwste securitytrends, inĀ onze securitysessiesĀ waar hij met plezier zijn ruime expertise deelt, of gewoon binnen jouw eigen bedrijfsmuren waar hij jouw werknemers opleidt tijdensĀ een security awareness training.