De eerste patch die werd uitgebracht voor het kritieke lek in de Apache Log4j-software blijkt zijn eigen lekken te hebben, die ook nog eens actief worden uitgebuit.
‘Meteen updaten’, schreven we vorige week, toen een zero-day kwetsbaarheid in de Log4J software werd gevonden, die ook al actief werd misbruikt om systemen te hacken. De open source logging tool Log4J van Apache wordt gebruikt in zowat alle belangrijke webapplicaties en cloudsystemen. Onder meer Amazon, Apple, Cloudflare, Tesla, Minecraft en Twitter maken er gebruik van.
Met de kwetsbaarheid kunnen aanvallers de rechten van webservers van op afstand misbruiken, wat dan ook grote schade kan veroorzaken, wereldwijd. De aanval op het Belgische ministerie van Defensie, vorige week, zou bijvoorbeeld gebruik hebben gemaakt van deze kwetsbaarheid. Onder meer de Belgische CCB schreef dan ook snel een aanbeveling uit voor een update naar versie 2.15.0.
Maar dat zal niet altijd genoeg zijn, zo blijkt nu. De snel in elkaar gestoken patch kan in bepaalde configuraties zelf lekken vertonen, zeggen onderzoekers. Je kan hun rapport hier lezen. Concreet zouden er twee kwetsbaarheden in patch 2.15.0 zitten, die ondertussen ook al gebruikt worden door criminelen. Apache heeft sinds vorige week twee nieuwe versies uitgebracht, waarin deze extra kwetsbaarheden zouden zijn verholpen. Het is dus belangrijk geworden dat je patcht, en dat je dan meteen patcht naar versie 2.16.0 of 2.17.0 om de Log4J-kwetsbaarheid (officiële naam CVE 2021-45046) te verhelpen zonder andere achterdeuren op te zetten.
Fout opgemerkt of meer nieuws? Meld het hier